服务器安全配置:whoogle-search防护策略
项目地址: https://gitcode.com/GitHub_Trending/wh/whoogle-search 一、安全风险分析与防护体系
1.1 核心安全挑战
Whoogle-Search作为自托管的元搜索引擎(Meta Search Engine),面临三大核心安全风险:
- 数据泄露风险:搜索查询内容可能包含敏感信息
- 未授权访问:公开部署时可能被恶意使用
- 流量拦截与篡改:中间人攻击导致搜索结果被污染
1.2 防护体系架构
二、环境变量安全配置
2.1 基础安全配置矩阵
| 环境变量 | 安全作用 | 推荐值 | 风险等级 |
|---|---|---|---|
WHOOGLE_USER | 启用HTTP基本认证 | 强随机字符串 | 高 |
WHOOGLE_PASS | 认证密码 | 12位以上含特殊字符 | 高 |
HTTPS_ONLY | 强制HTTPS重定向 | 1 | 高 |
WHOOGLE_CSP | 启用内容安全策略 | 1 | 中 |
WHOOGLE_CONFIG_DISABLE | 禁用客户端配置修改 | 1 | 中 |
WHOOGLE_CONFIG_PREFERENCES_ENCRYPTED | 加密偏好设置 | 1 | 中 |
WHOOGLE_CONFIG_PREFERENCES_KEY | 加密密钥 | 32位随机字符串 | 高 |
2.2 敏感配置实施步骤
- 创建加密环境变量文件:
# 生成安全的配置文件
cp whoogle.template.env whoogle.env
chmod 600 whoogle.env # 限制文件访问权限
- 配置示例(whoogle.env):
# 基础认证
WHOOGLE_USER="secure-admin"
WHOOGLE_PASS="xY9$kL2!pQ7*sT3"
# 安全强化
HTTPS_ONLY=1
WHOOGLE_CSP=1
WHOOGLE_CONFIG_DISABLE=1
# 数据加密
WHOOGLE_CONFIG_PREFERENCES_ENCRYPTED=1
WHOOGLE_CONFIG_PREFERENCES_KEY="$(openssl rand -hex 16)"
三、容器化部署安全加固
3.1 Docker安全配置详解
docker-compose.yml安全配置片段:
services:
whoogle-search:
image: benbusby/whoogle-search
user: whoogle # 非root用户运行
security_opt:
- no-new-privileges # 防止权限提升
cap_drop:
- ALL # 禁用所有Linux capabilities
tmpfs:
- /config/:size=10M,uid=927,gid=927,mode=1700 # 内存文件系统防止持久化
pids_limit: 50 # 限制进程数防止fork炸弹
mem_limit: 256mb # 内存限制防止DoS
restart: unless-stopped
environment:
- WHOOGLE_DOTENV=1 # 启用环境变量文件
ports:
- "127.0.0.1:5000:5000" # 仅绑定本地回环地址
3.2 Traefik反向代理配置(HTTPS强制)
# docker-compose-traefik.yaml 关键配置
services:
traefik:
image: "traefik:v2.7"
command:
- "--entrypoints.websecure.address=:443"
- "--certificatesresolvers.myresolver.acme.tlschallenge=true"
- "--certificatesresolvers.myresolver.acme.email=security@example.com"
- "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
ports:
- "443:443"
volumes:
- "./letsencrypt:/letsencrypt"
- "/var/run/docker.sock:/var/run/docker.sock:ro" # 只读权限
whoogle-search:
labels:
- "traefik.http.routers.whoogle.rule=Host(`search.example.com`)"
- "traefik.http.routers.whoogle.tls.certresolver=myresolver"
- "traefik.http.middlewares.security-headers.headers.contentSecurityPolicy=default-src 'self'"
- "traefik.http.middlewares.security-headers.headers.stsSeconds=31536000"
四、Web应用安全防护
4.1 HTTP安全头部配置
Whoogle在app/routes.py中默认启用核心安全头部:
# 安全响应头设置
resp.headers['X-Content-Type-Options'] = 'nosniff'
resp.headers['X-Frame-Options'] = 'DENY' # 防止点击劫持
if app.config.get('CSP_ENABLED'):
resp.headers['Content-Security-Policy'] = "default-src 'self'; img-src 'self' data:;"
4.2 认证与授权机制
基本认证实现流程:
关键认证代码(app/routes.py):
def auth_required(f):
@wraps(f)
def decorated_function(*args, **kwargs):
if not os.getenv('WHOOGLE_USER') or not os.getenv('WHOOGLE_PASS'):
return f(*args, **kwargs)
if 'auth' in session and session['auth']:
return f(*args, **kwargs)
auth = request.authorization
whoogle_user = os.getenv('WHOOGLE_USER', '')
whoogle_pass = os.getenv('WHOOGLE_PASS', '')
if auth and whoogle_user == auth.username and whoogle_pass == auth.password:
session['auth'] = True
return f(*args, **kwargs)
return Response(
'Whoogle Search requires authentication.', 401,
{'WWW-Authenticate': 'Basic realm="Whoogle Search"'})
return decorated_function
4.3 搜索数据加密
查询加密流程:
- 用户提交搜索查询
- 服务端使用
g.session_key加密查询内容 - 通过GET参数传递加密后的查询串
加密实现(app/utils/misc.py):
def encrypt_string(key: bytes, string: str) -> str:
cipher_suite = Fernet(key)
return cipher_suite.encrypt(string.encode()).decode()
# 使用示例
encrypted_query = encrypt_string(g.session_key, user_query)
redirect_url = f'/search?q={encrypted_query}'
五、服务器强化最佳实践
5.1 主机安全配置清单
- 防火墙规则:
# 仅开放必要端口
ufw allow 443/tcp
ufw allow 22/tcp # 限制SSH来源IP
ufw default deny incoming
ufw enable
- 定期更新:
# 创建自动更新脚本
cat > /etc/cron.weekly/update-whoogle << 'EOF'
#!/bin/bash
cd /data/web/disk1/git_repo/GitHub_Trending/wh/whoogle-search
docker-compose pull
docker-compose up -d
EOF
chmod +x /etc/cron.weekly/update-whoogle
5.2 安全监控与审计
- 容器日志监控:
# 监控认证失败事件
docker logs -f whoogle-search | grep "401 Unauthorized"
- 关键文件完整性检查:
# 创建校验和文件
find app/ -type f -print0 | xargs -0 sha256sum > checksums.sha256
# 定期验证
sha256sum -c checksums.sha256 --quiet || echo "警告:检测到文件篡改!"
六、安全部署检查清单
6.1 部署前安全验证
- 环境变量检查:
grep -E 'WHOOGLE_USER|WHOOGLE_PASS|HTTPS_ONLY|ENCRYPTED' whoogle.env
- 容器安全配置验证:
docker inspect whoogle-search | grep -E 'CapDrop|User|ReadOnlyPaths'
- 网络安全测试:
# 验证HTTPS强制
curl -I http://localhost:5000 | grep "Location: https"
# 验证CSP头部
curl -I https://search.example.com | grep "Content-Security-Policy"
七、应急响应与恢复
7.1 常见安全事件处理流程
| 事件类型 | 响应步骤 | 恢复措施 |
|---|---|---|
| 认证失败暴增 | 1. 检查日志确认攻击源 2. 临时阻止IP 3. 启用CAPTCHA | 重置WHOOGLE_PASS 实施IP白名单 |
| 异常流量模式 | 1. 启用速率限制 2. 检查是否存在DoS特征 | 升级服务器配置 启用CDN防护 |
| 敏感数据泄露 | 1. 立即停止服务 2. 轮换所有密钥 3. 审计访问日志 | 启用数据加密 实施数据脱敏 |
7.2 数据备份策略
# 创建自动化备份脚本
cat > /backup-whoogle.sh << 'EOF'
#!/bin/bash
BACKUP_DIR="/var/backups/whoogle"
TIMESTAMP=$(date +%Y%m%d-%H%M%S)
mkdir -p $BACKUP_DIR
# 备份配置
cp whoogle.env $BACKUP_DIR/whoogle.env.$TIMESTAMP
# 备份数据卷
docker run --rm --volumes-from whoogle-search -v $BACKUP_DIR:/backup alpine \
tar -czf /backup/whoogle-data.$TIMESTAMP.tar.gz /config
# 保留最近30天备份
find $BACKUP_DIR -type f -mtime +30 -delete
EOF
chmod +x /backup-whoogle.sh
八、总结与最佳实践
8.1 核心安全原则
-
最小权限原则:
- 容器以非root用户运行
- 禁用不必要的系统调用(cap_drop=ALL)
- 限制资源使用(mem_limit、pids_limit)
-
深度防御策略:
- 网络层:HTTPS + 反向代理
- 应用层:认证 + CSP + 数据加密
- 主机层:防火墙 + 日志审计 + 定期更新
-
持续安全验证:
- 每周执行安全配置检查
- 每月更新Whoogle到最新版本
- 每季度进行渗透测试
8.2 进阶安全建议
- 部署Web应用防火墙(WAF):如ModSecurity
- 实施异常检测:使用Fail2ban监控异常登录
- 配置文件系统只读:除必要目录外均设为只读
- 启用内核安全功能:如SELinux/AppArmor、kexec-disable
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
