mirror of
https://github.com/Awuqing/BackupX.git
synced 2026-05-27 19:19:35 +08:00
17f4ec63ae
* fix(server): 后端直接托管 Web 控制台,修复无 nginx 时 404 (#62) 问题 #62:在未安装 nginx 的服务器上,访问 :8340/ 返回 "route not found"(404),Web 控制台完全无法打开;同时 systemd 服务以 backupx 用户启动时因无权读取 root:root 0640 的配置文件 而反复退出(exit 1)。 修复: - 后端新增 SPA 静态托管:自动探测前端目录(./web、./web/dist、 /opt/backupx/web 等,或 server.web_root 显式指定),命中后直接 提供静态文件与 index.html 回退,无需额外 nginx 反向代理即可访问 控制台。/api、/health、/metrics、/install 等保留前缀仍返回结构化 JSON 404,不会被 SPA 回退污染(沿用 issue #46 的约定)。 - 含 ".." 的请求路径由文件服务层直接拒绝,叠加 filepath.Rel 容器 校验,杜绝目录穿越。 - install.sh 以 backupx:backupx 安装配置文件并显式 chown,修复历史 版本 root:root 0640 导致服务无法读取配置而启动失败的问题;安装 完成提示同步说明可直接通过 :8340 访问,并给出 journalctl 排查命令。 - 新增 spa_test.go 覆盖目录探测、保留前缀判定、SPA 回退与穿越防护。 Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> * fix(security): 修复邮件头注入,加固 webhook 与整数转换 CodeQL 静态扫描在 main 上的真实告警修复: - 邮件通知(email.go):From/To/Subject 头部此前直接拼接用户可控 内容(备份任务名会进入 Subject),存在 SMTP 头注入风险(可注入 Bcc 等额外头部或伪造正文)。新增 buildRawMessage/sanitizeHeaderValue 剔除头部值中的 CR/LF;正文保持原样。新增 email_test.go 覆盖。 - webhook 通知(webhook.go):Validate 增加 URL 解析与 http/https 协议校验,杜绝 file://、gopher:// 等可用于 SSRF 的协议。 - 整数转换(auth_service.go、storage_target_handler.go、 backup_record_handler.go):将 ParseUint 的 bitSize 由 64 改为 0 (即 uint 宽度),消除 uint64→uint 的潜在截断(32 位平台上为越界 拒绝而非静默截断),并清除 go/incorrect-integer-conversion 告警。 注:archive.go/file_runner.go 的 zipslip 告警为误报(已有 HasPrefix 容器校验且不解压符号链接);node FS 浏览与 webhook 目标主机由设计上 的鉴权用户控制,不在本次行为变更范围内。 Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> --------- Co-authored-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
122 lines
4.0 KiB
Bash
Executable File
122 lines
4.0 KiB
Bash
Executable File
#!/bin/sh
|
||
set -eu
|
||
|
||
SCRIPT_DIR=$(CDPATH= cd -- "$(dirname -- "$0")" && pwd)
|
||
PROJECT_ROOT=$(CDPATH= cd -- "$SCRIPT_DIR/.." && pwd)
|
||
PREFIX="${PREFIX:-/opt/backupx}"
|
||
ETC_DIR="${ETC_DIR:-/etc/backupx}"
|
||
SERVICE_NAME="backupx"
|
||
APP_USER="backupx"
|
||
APP_GROUP="backupx"
|
||
if [ -f "$SCRIPT_DIR/backupx" ] && [ -d "$SCRIPT_DIR/web" ]; then
|
||
BIN_SOURCE="${BIN_SOURCE:-$SCRIPT_DIR/backupx}"
|
||
WEB_SOURCE="${WEB_SOURCE:-$SCRIPT_DIR/web}"
|
||
CONFIG_TEMPLATE="${CONFIG_TEMPLATE:-$SCRIPT_DIR/config.example.yaml}"
|
||
NGINX_SOURCE="${NGINX_SOURCE:-$SCRIPT_DIR/nginx.conf}"
|
||
else
|
||
BIN_SOURCE="${BIN_SOURCE:-$PROJECT_ROOT/server/backupx}"
|
||
WEB_SOURCE="${WEB_SOURCE:-$PROJECT_ROOT/web/dist}"
|
||
CONFIG_TEMPLATE="${CONFIG_TEMPLATE:-$PROJECT_ROOT/server/config.example.yaml}"
|
||
NGINX_SOURCE="${NGINX_SOURCE:-$PROJECT_ROOT/deploy/nginx.conf}"
|
||
fi
|
||
SERVICE_SOURCE="${SERVICE_SOURCE:-$PROJECT_ROOT/deploy/backupx.service}"
|
||
|
||
if [ "$(id -u)" -ne 0 ]; then
|
||
echo "请使用 root 或 sudo 执行安装脚本。" >&2
|
||
exit 1
|
||
fi
|
||
|
||
if [ ! -f "$BIN_SOURCE" ]; then
|
||
echo "未找到后端二进制:$BIN_SOURCE" >&2
|
||
echo "源码树安装请先执行:cd \"$PROJECT_ROOT/server\" && go build -o backupx ./cmd/backupx" >&2
|
||
echo "发布包安装请确认当前目录包含 ./backupx、./web 和 ./install.sh。" >&2
|
||
exit 1
|
||
fi
|
||
|
||
if [ ! -d "$WEB_SOURCE" ]; then
|
||
echo "未找到前端构建产物:$WEB_SOURCE" >&2
|
||
echo "源码树安装请先执行:cd \"$PROJECT_ROOT/web\" && npm run build" >&2
|
||
echo "发布包安装请确认当前目录包含 ./web。" >&2
|
||
exit 1
|
||
fi
|
||
|
||
if [ ! -f "$CONFIG_TEMPLATE" ]; then
|
||
echo "未找到配置模板:$CONFIG_TEMPLATE" >&2
|
||
exit 1
|
||
fi
|
||
|
||
if ! getent group "$APP_GROUP" >/dev/null 2>&1; then
|
||
groupadd --system "$APP_GROUP"
|
||
fi
|
||
|
||
if ! id "$APP_USER" >/dev/null 2>&1; then
|
||
useradd --system --gid "$APP_GROUP" --home-dir "$PREFIX" --shell /usr/sbin/nologin "$APP_USER"
|
||
fi
|
||
|
||
install -d -o "$APP_USER" -g "$APP_GROUP" "$PREFIX" "$PREFIX/bin" "$PREFIX/web" "$PREFIX/data" "$ETC_DIR"
|
||
install -m 0755 "$BIN_SOURCE" "$PREFIX/bin/backupx"
|
||
cp -R "$WEB_SOURCE/." "$PREFIX/web/"
|
||
chown -R "$APP_USER:$APP_GROUP" "$PREFIX"
|
||
|
||
if [ ! -f "$ETC_DIR/config.yaml" ]; then
|
||
install -o "$APP_USER" -g "$APP_GROUP" -m 0640 "$CONFIG_TEMPLATE" "$ETC_DIR/config.yaml"
|
||
fi
|
||
# 确保服务账户能读取配置:历史版本曾以 root:root 0640 安装配置,
|
||
# 导致以 backupx 身份运行的服务因无权读取配置而启动失败(exit 1)。
|
||
chown "$APP_USER:$APP_GROUP" "$ETC_DIR/config.yaml"
|
||
|
||
if [ -f "$SERVICE_SOURCE" ]; then
|
||
install -m 0644 "$SERVICE_SOURCE" "/etc/systemd/system/$SERVICE_NAME.service"
|
||
else
|
||
cat > "/etc/systemd/system/$SERVICE_NAME.service" <<UNIT
|
||
[Unit]
|
||
Description=BackupX API Service
|
||
After=network-online.target
|
||
Wants=network-online.target
|
||
|
||
[Service]
|
||
Type=simple
|
||
User=$APP_USER
|
||
Group=$APP_GROUP
|
||
WorkingDirectory=$PREFIX
|
||
ExecStart=$PREFIX/bin/backupx -config $ETC_DIR/config.yaml
|
||
Restart=on-failure
|
||
RestartSec=5
|
||
NoNewPrivileges=true
|
||
LimitNOFILE=65535
|
||
|
||
[Install]
|
||
WantedBy=multi-user.target
|
||
UNIT
|
||
fi
|
||
systemctl daemon-reload
|
||
systemctl enable --now "$SERVICE_NAME"
|
||
|
||
if [ -d "/etc/nginx/conf.d" ] && [ -f "$NGINX_SOURCE" ]; then
|
||
install -m 0644 "$NGINX_SOURCE" "/etc/nginx/conf.d/$SERVICE_NAME.conf"
|
||
if command -v nginx >/dev/null 2>&1; then
|
||
nginx -t
|
||
systemctl reload nginx || true
|
||
fi
|
||
fi
|
||
|
||
cat <<MESSAGE
|
||
安装完成。
|
||
|
||
- 二进制目录:$PREFIX/bin/backupx
|
||
- 前端目录:$PREFIX/web
|
||
- 配置文件:$ETC_DIR/config.yaml
|
||
- systemd 服务:/etc/systemd/system/$SERVICE_NAME.service
|
||
|
||
Web 控制台已由后端直接托管,无需额外的 nginx 反向代理即可访问:
|
||
http://<本机IP>:8340
|
||
|
||
(如已安装 nginx,脚本会自动写入反向代理配置,可继续用 80 端口访问。)
|
||
|
||
排查:若服务未监听端口,请查看日志:
|
||
journalctl -u "$SERVICE_NAME" -n 50 --no-pager
|
||
|
||
如需修改监听地址、数据库路径或日志级别,请编辑 "$ETC_DIR/config.yaml" 后执行:
|
||
systemctl restart "$SERVICE_NAME"
|
||
MESSAGE
|