## 为什么个人站点也要做安全加固
很多人会把个人博客当成静态展示页,但只要它暴露在公网上,就会进入自动化扫描器的视野。对轻量 Flask 站点来说,真正有效的加固往往不在复杂框架,而在部署细节是否足够克制。
上线前建议优先处理的 5 件事
- 只把容器绑定到
127.0.0.1,不要把业务端口直接暴露到公网。 - 统一让 Nginx 负责 443 入口,应用层只处理业务逻辑。
- 把镜像做小,删除无关依赖,降低攻击面。
- 数据目录单独挂载,避免容器重建后 SQLite 丢失。
- 给站点打开 HTTPS 和 HSTS,减少中间人风险。
适合个人站的最小权限思路
| 组件 | 建议 |
|---|---|
| Docker 容器 | 只监听本地回环地址 |
| 宝塔 Nginx | 做统一入口和证书管理 |
| SQLite | 放在单独目录并定期备份 |
| 日志 | 至少保留访问日志与错误日志 |
结论
小型站点并不需要过度设计,但必须保证边界清晰。只要把反向代理、TLS、容器绑定和数据目录这几个环节做好,整体风险就会下降很多。