-
創建專用用戶和組
sudo groupadd minio
sudo useradd -r -g minio minio
-
設置強密碼
通過環境變量配置密碼����,避免硬編碼:
export MINIO_ROOT_PASSWORD='復雜密碼'
或在服務文件中指定:
Environment="MINIO_ROOT_PASSWORD=復雜密碼"
-
啟用TLS/SSL加密
指定證書目錄或環境變量:
minio server /data --certs-dir /path/to/certs
或通過服務文件配置:
Environment="MINIO_CERTS_DIR=/path/to/certs"
-
配置防火墻
僅開放必要端口(默認9000/9001):
sudo firewall-cmd --add-port=9000/tcp --permanent
sudo firewall-cmd --add-port=9001/tcp --permanent
sudo firewall-cmd --reload
-
限制訪問權限
- 桶級權限:通過控制臺或
mc命令設置公共讀/私有權限���。
- 對象級權限:使用預簽名URL限制臨時訪問�。
- IAM策略:創建角色并綁定JSON策略����,控制用戶對資源的操作權限�����。
-
啟用訪問日志與監控
Environment="MINIO_LOGGER_TYPE=file"
Environment="MINIO_LOGGER_FILE=/var/log/minio/access.log"
定期分析日志����,監控異常訪問���。
-
系統級安全加固
- 禁用不必要的服務�����,減少攻擊面�。
- 定期更新MinIO至最新版本�����,修復安全漏洞���。
- 啟用SELinux(如需更嚴格的訪問控制)���。
