This fork is binary-compatible with alireza0/s-ui — drop the new binary on top of an existing 1.x install, the panel migrates the DB automatically on first start. The intent is to harden security and reliability without changing the protocol surface.

• Auth and session security. bcrypt with lazy migration, randomly generated first-run password (logged once), login rate limiter, HttpOnly + SameSite=Lax + HTTPS-aware Secure cookies. Sensitive settings (Telegram bot token, proxy credentials, install salt) are encrypted at rest via secretbox; API tokens are stored as salted SHA-256 hashes. CSRF protection is enforced on browser /api/* mutating requests.
• API token scopes. admin, read, write, and observability scopes are documented in docs/scope-matrix.md, including audit, database, Telegram, subscription-secret rotation, observability, and realtime security-event behavior.
• X-Forwarded-For handling. Header is ignored unless SUI_TRUSTED_PROXIES is configured; the chain is walked right-to-left so spoofed XFF cannot reach IP-based logic.
• External subscription fetcher. URL allow-list, blocks private/loopback targets by default (opt-in via SUI_ALLOW_PRIVATE_SUB_URLS=true), 4 MiB response cap, DNS-rebinding-safe dial-time IP re-validation. Authorization: Bearer <token> is the primary API token transport on /apiv2/*; the legacy Token header still works with Deprecation and Sunset headers until Sat, 15 Aug 2026 00:00:00 GMT.
• Realtime WebSocket. /api/realtime/ws-token + /api/realtime/ws enforce Origin allow-listing, per-IP handshake rate limits, single-use tokens, ping/pong heartbeat, idle close, and close-all on session rotation. Frontend has a polling fallback for degraded states.
• Per-client subscription secrets. /sub/<secret>, /sub/json/<secret>, /sub/clash/<secret>, /json/<secret>, /clash/<secret> are supported; legacy /sub/<name> keeps working until subSecretRequired=true. Subscription endpoints sanitize response headers and apply a configurable per-IP rate limit.
• Telegram notifications (off by default). Async bounded queue with retry/backoff and audited overflow/failure events. Egress can use validated HTTP/HTTPS/SOCKS5 proxy settings. Telegram payloads, audit details, change history, and backup captions are redacted.
• Audit and observability. audit_events table with retention GC, scoped GET /api/security/audit endpoint with rate limiting and cursor pagination. Bounded observability buckets (2s, 30s, 1m, 5m) sampled by cron. Bounded logs API and fail-soft 1h-cached GET /api/version.
• IP monitor (monitor-only by default). Salted hashes, opt-in raw display, retention GC, per-client limitIp and ipLimitMode. Enforce mode rejects only new over-limit connections and never closes active connections.
• SQL safety. Parameterized queries throughout service/config.go and service/inbounds.go; static allow-list of inbound types in the user-fetch SQL builder.
• Backup import / upgrade. ImportDB enforces a 64 MiB cap, SQLite magic check, temporary staging, read-only PRAGMA integrity_check, and audit events. WAL/SHM sidecars are cleaned, schema migrations + AdaptToCurrentVersion run automatically (rehashes legacy plaintext passwords, refreshes indexes, bumps settings.version); the previous DB is restored on any failure.
• Listen-address resilience. When the saved webListen / subListen IP no longer exists on the host, the panel logs a warning and binds on every interface instead of failing with EADDRNOTAVAIL.
• Race-free runtime. Core lifecycle, online stats, last-update bookkeeping, v2 token store, realtime hub all pass go test -race ./... (requires CGO).
• HTTP server hardening. Read/Write/Header/Idle timeouts and tls.MinVersion = 1.2 on both the panel and the subscription endpoint. Security-headers middleware (CSP, HSTS when TLS, no-store on subscription responses).
• WARP registration. Talks to the current Cloudflare WARP API (v0a4005) with proper first-party headers, falls back to v0a2158, retries transient TLS handshake failures.
• Frontend hygiene. v-html removed from logs, rule import errors, IP lists, and the gauge tile. Axios on an exported instance, AbortController instead of deprecated CancelToken, dedupe limited to idempotent reads, Vite code splitting on. Realtime WS store with reconnect/degraded states. Secret-aware settings fields with ••• stored ••• placeholder. IP history modal with raw-IP masking by default. Telegram settings and Audit views.
• Localization & defaults. Multilingual install.sh and s-ui management menu (English / Russian / Chinese), language switchable at runtime. Default timeLocation is Europe/Moscow. Default frontend locale is English (existing browsers keep their localStorage choice).

Step 1: install Docker

curl -fsSL https://get.docker.com | sh

Step 2: install S-UI

Docker Compose option

services:
  s-ui:
    image: ghcr.io/deposist/s-ui-rus-inst
    container_name: s-ui
    hostname: "s-ui"
    network_mode: host
    volumes:
      - "./db:/app/db"
      - "./cert:/app/cert"
    tty: true
    restart: unless-stopped
    entrypoint: "./entrypoint.sh"

docker compose up -d

Direct Docker run

mkdir s-ui && cd s-ui

docker run -itd \
    --network host \
    -v $PWD/db/:/app/db/ \
    -v $PWD/cert/:/root/cert/ \
    --name s-ui \
    --restart=unless-stopped \
    ghcr.io/deposist/s-ui-rus-inst

Build the image yourself

git clone https://github.com/deposist/s-ui-rus-inst
docker build -t s-ui .

./runSUI.sh

# Clone the repository
git clone https://github.com/deposist/s-ui-rus-inst

The frontend code is in the frontend directory.

Build the frontend at least once before building the backend.

Build the backend:

# Remove old frontend build files
rm -fr web/html/*
# Copy new frontend build files
cp -R frontend/dist/ web/html/
# Build
go build -o sui main.go

Run the backend from the repository root:

./sui

Этот форк бинарно совместим с alireza0/s-ui — новый бинарник можно ставить поверх работающей установки 1.x, схема БД автоматически обновится при первом старте. Цель форка — усилить безопасность и надёжность, не меняя протокол.

• Авторизация и сессия. bcrypt с ленивой миграцией, случайный пароль администратора при первой установке (выводится в журнал один раз), лимит на неуспешные логины, cookie сессии — HttpOnly + SameSite=Lax + Secure при HTTPS. Чувствительные настройки (Telegram bot token, креденшелы прокси, install salt) шифруются at-rest через secretbox; API-токены хранятся как salted SHA-256. CSRF-защита на browser /api/*-mutating-запросах.
• Scopes API-токенов. admin, read, write и observability описаны в docs/scope-matrix.md, включая audit, database, Telegram, rotation subscription-secret, observability и realtime security-event.
• X-Forwarded-For. Заголовок игнорируется без SUI_TRUSTED_PROXIES; цепочка обходится справа налево, поддельный XFF не может обойти IP-логику.
• Загрузчик внешних подписок. Allow-list URL, блок приватных/loopback по умолчанию (opt-in SUI_ALLOW_PRIVATE_SUB_URLS=true), лимит ответа 4 МиБ, защита от DNS rebinding на dial. Authorization: Bearer <token> — основной способ передачи API-токена в /apiv2/*; legacy Token-header работает с Deprecation и Sunset до Sat, 15 Aug 2026 00:00:00 GMT.
• Realtime WebSocket. /api/realtime/ws-token + /api/realtime/ws с Origin allow-list, per-IP rate-limit handshake, одноразовыми токенами, ping/pong heartbeat, idle close и close-all при ротации сессии. На фронте есть polling-фолбэк для degraded-состояний.
• Per-client subscription secrets. Поддерживаются /sub/<secret>, /sub/json/<secret>, /sub/clash/<secret>, /json/<secret>, /clash/<secret>; legacy /sub/<name> работает пока subSecretRequired=false. Subscription-эндпоинты санитизируют response-заголовки и применяют конфигурируемый per-IP rate-limit.
• Telegram-уведомления (off by default). Асинхронная bounded-очередь с retry/backoff и audit-событиями overflow/failure. Egress может идти через валидированные HTTP/HTTPS/SOCKS5-прокси. Payload, audit-детали, changes и captions проходят redaction.
• Audit и observability. Таблица audit_events с retention GC, scoped эндпоинт GET /api/security/audit с rate-limit и cursor pagination. Bounded observability buckets (2s, 30s, 1m, 5m), сэмплятся cron'ом. Bounded logs API и fail-soft 1h-cached GET /api/version.
• IP monitor (monitor-only по умолчанию). Соль+SHA-256 hashing, opt-in raw-display, retention GC, per-client limitIp и ipLimitMode. Enforce отбрасывает только новые сверхлимитные подключения и не разрывает активные.
• Безопасность SQL. Параметризованные запросы в service/config.go и service/inbounds.go; в выборке пользователей по inbound — статический whitelist допустимых типов.
• Импорт бэкапа / обновление. ImportDB имеет cap 64 МиБ, проверку SQLite magic, временную staging-копию, read-only PRAGMA integrity_check и audit-события. WAL/SHM сайдкары очищаются, schema-миграции и AdaptToCurrentVersion запускаются автоматически (перешивка plaintext-паролей в bcrypt, обновление индексов, поднятие settings.version); при ошибке БД восстанавливается из staging.
• Листен-адрес, устойчивый к переезду. Если в webListen / subListen сохранён IP, которого нет на текущем хосте, панель пишет warning и слушает на всех интерфейсах вместо краша EADDRNOTAVAIL.
• Race-free runtime. core lifecycle, online-stats, last-update, v2 token store и realtime hub проходят go test -race ./... (требует CGO).
• HTTP server hardening. Таймауты Read/Write/Header/Idle и tls.MinVersion = 1.2 для панели и для эндпоинта подписки. Middleware security-headers (CSP, HSTS при TLS, no-store на subscription-ответах).
• WARP-регистрация. Поддержка актуального API Cloudflare (v0a4005) с заголовками первого клиента, фоллбэк на v0a2158, ретраи переходящих TLS-ошибок.
• Чистота фронтенда. v-html удалён из логов, ошибок импорта правил, IP-листов и gauge-плитки. Axios через экспортируемый instance, AbortController вместо устаревшего CancelToken, дедупликация только для идемпотентных запросов, code splitting Vite. Realtime WS-store с reconnect/degraded состояниями. Secret-aware-поля настроек с placeholder'ом ••• stored •••. IP-history modal с маской raw-IP по умолчанию. Views Telegram-настроек и Audit.
• Локализация и значения по умолчанию. Многоязычные install.sh и меню s-ui (английский / русский / китайский), язык переключается на лету. Часовой пояс по умолчанию — Europe/Moscow. Локаль фронтенда по умолчанию — английский (существующие браузеры сохраняют выбор из localStorage).

Шаг 1: установите Docker

curl -fsSL https://get.docker.com | sh

Шаг 2: установите S-UI

Вариант с Docker Compose

services:
  s-ui:
    image: ghcr.io/deposist/s-ui-rus-inst
    container_name: s-ui
    hostname: "s-ui"
    network_mode: host
    volumes:
      - "./db:/app/db"
      - "./cert:/app/cert"
    tty: true
    restart: unless-stopped
    entrypoint: "./entrypoint.sh"

docker compose up -d

Прямой запуск через Docker

mkdir s-ui && cd s-ui

docker run -itd \
    --network host \
    -v $PWD/db/:/app/db/ \
    -v $PWD/cert/:/root/cert/ \
    --name s-ui \
    --restart=unless-stopped \
    ghcr.io/deposist/s-ui-rus-inst

Самостоятельная сборка образа

git clone https://github.com/deposist/s-ui-rus-inst
docker build -t s-ui .

./runSUI.sh

# Клонирование репозитория
git clone https://github.com/deposist/s-ui-rus-inst

Код фронтенда находится в каталоге frontend.

Перед сборкой бэкенда нужно хотя бы один раз собрать фронтенд.

Сборка бэкенда:

# Удаление старых собранных файлов фронтенда
rm -fr web/html/*
# Копирование новых собранных файлов фронтенда
cp -R frontend/dist/ web/html/
# Сборка
go build -o sui main.go

Запуск бэкенда из корня репозитория:

./sui