From 49d4e60a1c69dbf12f02e2fa6cd7745e4026a48b Mon Sep 17 00:00:00 2001
From: hsiegeln <37154749+hsiegeln@users.noreply.github.com>
Date: Sat, 18 Apr 2026 13:56:18 +0200
Subject: [PATCH] =?UTF-8?q?fix(searxng):=20Env-Substitution=20=C3=BCber=20?=
 =?UTF-8?q?Python=20statt=20!env-YAML-Tag?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

SearXNG v2026 kennt keinen !env-YAML-Constructor — Container crasht
mit „could not determine a constructor for the tag '!env'". Fix: wir
mounten settings.yml read-only auf /config-src, und ein Entrypoint-Hook
schreibt beim Start eine expandierte Fassung nach /etc/searxng/settings.yml
(mit os.path.expandvars — Python ist im Image, envsubst fehlt).

- settings.yml: api_key nutzt jetzt ${BRAVE_API_KEY} statt !env.
- docker-compose.prod.yml: searxng-Container bekommt entrypoint-
  Override, reicht BRAVE_API_KEY + SEARXNG_SECRET als Env durch und
  expandiert das YAML vor exec.

Leerer Key ist weiterhin ok — Brave antwortet dann mit 401, andere
Engines bleiben unberührt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 docker-compose.prod.yml | 21 +++++++++++++++++++--
 searxng/settings.yml    |  5 ++++-
 2 files changed, 23 insertions(+), 3 deletions(-)

diff --git a/docker-compose.prod.yml b/docker-compose.prod.yml
index a083054..8f35301 100644
--- a/docker-compose.prod.yml
+++ b/docker-compose.prod.yml
@@ -33,14 +33,31 @@ services:
   searxng:
     # Absichtlich nur intern erreichbar — keine Traefik-Labels, kein externer Port.
     image: searxng/searxng:latest
+    # settings.yml wird read-only gemountet und beim Start in eine beschreib-
+    # bare /etc/searxng-Kopie expandiert (${…}-Platzhalter → ENV-Werte),
+    # damit der Brave-API-Key aus .env eingesetzt werden kann, ohne ihn im
+    # Repo zu pflegen. SearXNG selbst hat kein !env-Tag, daher machen wir
+    # es per Python im Entrypoint-Hook. Das SearXNG-Image hat Python bereits
+    # installiert; envsubst fehlt im Alpine-Base.
     volumes:
-      - ./searxng:/etc/searxng
+      - ./searxng:/config-src:ro
     environment:
       - BASE_URL=http://searxng:8080/
       - INSTANCE_NAME=kochwas-search
       # Brave Search API-Key aus .env (auf dem Pi gepflegt, nicht im Repo).
-      # Leer oder fehlend → brave-Engine ist im settings.yml disabled/default.
+      # Leer oder fehlend → brave-Engine antwortet mit 401, andere Engines
+      # laufen normal weiter.
       - BRAVE_API_KEY=${BRAVE_API_KEY:-}
+      - SEARXNG_SECRET=${SEARXNG_SECRET:-dev-secret-change-in-prod}
+    entrypoint:
+      - /bin/sh
+      - -c
+      - |
+        set -e
+        mkdir -p /etc/searxng
+        python3 -c "import os,sys; sys.stdout.write(os.path.expandvars(open('/config-src/settings.yml').read()))" > /etc/searxng/settings.yml
+        exec /usr/local/searxng/dockerfiles/docker-entrypoint.sh "$@"
+      - --
     restart: unless-stopped
     networks:
       - internal
diff --git a/searxng/settings.yml b/searxng/settings.yml
index 4dfc772..00a81bd 100644
--- a/searxng/settings.yml
+++ b/searxng/settings.yml
@@ -46,7 +46,10 @@ engines:
     shortcut: br
     categories: [general, web]
     timeout: 6.0
-    api_key: !env BRAVE_API_KEY
+    # Wert wird beim Container-Start durch Python-os.path.expandvars aus der
+    # BRAVE_API_KEY-Env-Variable eingesetzt (siehe docker-compose.prod.yml
+    # entrypoint-Override). SearXNG selbst hat kein !env-Tag.
+    api_key: "${BRAVE_API_KEY}"
     disabled: false
 
   # DuckDuckGo: Standard-Scraper, 3s-Default war zu knapp. Bleibt als Fallback,