MinIO Ubuntu安装后的安全设置

MinIO Ubuntu 安装后的安全设置清单

一 身份与最小权限

• 使用非 root专用系统用户运行 MinIO，并仅授予其对数据目录的必要权限；创建用户与目录示例：sudo useradd -r -s /usr/sbin/nologin minio-user；sudo mkdir -p /data/minio /etc/minio；sudo chown -R minio-user:minio-user /data/minio /etc/minio。服务以该用户启动，降低被攻破后的横向风险。
• 设置强口令的MINIO_ROOT_USER / MINIO_ROOT_PASSWORD（控制台与 S3 API 超级账户），并妥善保存；避免使用默认口令。示例：MINIO_ROOT_USER=admin；MINIO_ROOT_PASSWORD=StrongPassw0rd!。
• 登录控制台后，遵循最小权限原则创建IAM 用户/组、策略（Policy）与访问密钥，仅授予目标存储桶/前缀所需权限；禁用或删除不再使用的密钥；为生产环境禁用minioadmin默认账户。

二 传输与网络暴露面

• 强制启用TLS/HTTPS：优先通过反向代理（如 Nginx + Let’s Encrypt）终止 TLS，对外仅暴露 443；自签名证书仅用于测试。示例 Nginx 配置片段：listen 443 ssl；ssl_certificate /etc/letsencrypt/live/your.domain/fullchain.pem；ssl_certificate_key /etc/letsencrypt/live/your.domain/privkey.pem；proxy_pass http://127.0.0.1:9000；对控制台（常见端口 9090/9001）同样做反向代理与 TLS 终止。
• 仅开放必要端口与来源：如采用直连方式，放通 9000/TCP（S3 API） 与 9090/9001/TCP（控制台）；云上需同步配置安全组仅允许受控网段访问。若使用反向代理，仅暴露 443。示例 UFW：sudo ufw allow 443/tcp；如需直连再放行 9000、9001。
• 将服务绑定到127.0.0.1并通过反向代理对外提供访问，减少直接暴露后端端口；控制台与 API 域名分离有助于职责分离与访问控制。

三 文件系统与运行环境

• 数据目录与配置目录归属minio-user，权限最小化（例如 0750/0700），避免使用 0777；禁止其他系统用户写入。
• 通过 systemd 限制资源与权限：设置 User=minio-user、Group=minio-user、Restart=always、LimitNOFILE=65536；如有需要可进一步配置 ProtectHome、PrivateTmp、ReadWritePaths 等隔离选项。
• 启用并审计系统日志：journalctl -u minio.service -f 持续观察；将日志接入集中化平台（如 rsyslog/ELK）以便审计与告警。

四 桶与对象安全策略

• 在控制台或 via mc 为每个存储桶设置访问策略（public/private/custom），默认应为私有；对外公开需显式配置并通过 CDN 鉴权或签名 URL 控制访问。
• 使用**服务端加密（SSE-KMS/SSE-S3）**对静态数据进行加密；结合对象锁定（WORM）与版本控制满足合规与防勒索需求。
• 对外共享采用预签名 URL（Presigned URL）并设置过期时间与条件（如 IP、时间窗）；禁用桶的列举权限给普通应用账号，仅授予GetObject/PutObject等必要操作。

五 运维与持续加固

• 定期轮换访问密钥与控制台密码；为关键操作建立变更流程与双人复核。
• 持续监控与告警：对异常登录、失败请求、策略变更、证书临近过期等进行监控；定期备份配置与 IAM 策略。
• 升级到受支持的 MinIO 版本，及时修补安全漏洞；仅从官方渠道下载二进制或安装包。