Rest-Server v0.14.0 发布：安全加固与功能增强

项目简介

Rest-Server 是一个轻量级的 RESTful 后端服务器，专为 restic 备份工具设计。它提供了简单高效的 HTTP API 接口，使得用户可以通过网络存储和管理备份数据。作为 restic 生态系统的关键组件，rest-server 以其简洁性和高性能著称，特别适合作为私有备份存储解决方案。

安全增强

本次 v0.14.0 版本在安全性方面做出了重要改进。最值得注意的是修复了 .htpasswd 文件权限问题。在之前的版本中，新创建的 .htpasswd 文件默认具有全局可读权限，这可能带来潜在的安全风险。虽然该文件仅存储密码哈希值，但过度开放的权限仍然不符合安全最佳实践。新版本确保新创建的 .htpasswd 文件不再全局可读，管理员需要手动调整现有文件的权限。

另一个重要的安全改进是 TLS 配置的强化。现在默认使用更安全的 TLS 密码套件，并将最低 TLS 版本要求提高到 1.2。新增的 --tls-min-ver 选项允许管理员根据实际需求设置更高的 TLS 版本要求，为安全敏感环境提供更严格的保护。

认证机制扩展

v0.14.0 引入了代理认证支持，这是一个备受期待的功能。通过 --proxy-auth-username 选项，管理员可以指定用于认证的 HTTP 头字段（如 X-Forwarded-User）。启用此功能后，服务器将基于指定的头字段进行用户认证，并自动禁用基本认证。这一改进使得 rest-server 能够更好地集成到现有的代理认证架构中，同时保持了系统的安全性——当启用 --no-auth 选项时，代理认证功能会自动禁用。

存储权限管理

新版本增加了对组可访问存储库的支持。通过 --group-accessible-repos 选项，管理员可以配置存储库的组访问权限。这一功能特别适合团队协作环境，允许多个用户通过组权限共享访问备份存储库。需要注意的是，此选项不会自动修改现有文件的权限，管理员需要根据需求手动设置适当的 umask 值（如 007 用于读写权限，027 用于只读权限）或使用 chmod 命令调整现有文件的权限。

系统兼容性与构建要求

v0.14.0 更新了所有依赖项，并将最低 Go 版本要求提高到 1.23。这一变化带来了更现代的加密库和性能优化，但也意味着在某些旧系统上的兼容性可能受到影响。具体来说：

• Windows 平台现在需要至少 Windows 10 或 Windows Server 2016
• macOS 平台需要至少 macOS 11 Big Sur
• TLS 1.0 和 1.1 已被弃用，最低要求为 TLS 1.2

为了方便 Windows 用户，本次发布新增了 zip 格式的二进制包，作为原有 tar.gz 格式的补充。

其他改进

启动日志中现在会明确显示 append-only 模式的状态，帮助管理员快速确认服务器的运行配置。这一看似小的改进实际上大大提升了运维透明度，特别是在自动化部署场景中。

升级建议

对于生产环境用户，建议在升级前：

1. 备份现有的 .htpasswd 文件
2. 检查并调整文件权限（如有需要）
3. 验证客户端兼容性，特别是 TLS 配置
4. 对于使用代理认证的场景，确保前端代理配置正确

新版本在保持 rest-server 一贯轻量级特点的同时，通过多项安全加固和功能扩展，进一步提升了其在企业环境中的适用性。特别是代理认证和组权限支持，使得 rest-server 能够更好地适应复杂的组织架构和安全管理需求。