ubuntu minio安装后如何安全设置

Ubuntu安装MinIO后，可按以下步骤进行安全设置：

1. 修改默认账户与密码

   • 避免使用默认账号minioadmin，通过mc admin user add命令创建新用户并设置强密码。
   • 禁用默认账户或定期更换密码。

2. 配置防火墙与端口

   • 使用ufw限制MinIO端口（默认9000/9001）仅允许必要IP访问：

     sudo ufw allow from <IP> to any port 9000,9001  
     sudo ufw enable  
     

3. 启用SSL/TLS加密

   • 生成自签名证书或使用Let’s Encrypt证书，通过--certs-dir参数指定证书路径启动服务。
   • 强制使用HTTPS访问控制台和API。

4. 存储桶权限控制

   • 通过mc anonymous set命令设置存储桶权限：
     • private：禁止匿名访问（敏感数据推荐）。
     • public-read：允许匿名读取（仅适用于公开资源）。
   • 使用JSON策略精确控制访问，例如限制特定IP或用户操作。

5. 服务端加密（SSE）

   • 启用SSE-S3（需配置KMS）或SSE-C（客户端提供密钥），确保数据存储加密。
   • 示例（SSE-C）：

     mc alias set myminio http://localhost:9000 <ACCESS_KEY> <SECRET_KEY>  
     mc encrypt --customer-key <32字节密钥> myminio/mybucket/object.jpg  
     

6. 日志与监控

   • 启用详细日志记录，定期分析访问日志。
   • 集成Prometheus等工具监控服务状态和异常。

7. 定期维护

   • 更新MinIO到最新版本，修复安全漏洞。
   • 定期备份数据并测试恢复流程。

关键命令参考：

• 创建用户并绑定策略：mc admin user add + mc admin policy set。
• 查看/修改存储桶权限：mc anonymous get-json + mc anonymous set-json。
• 启用加密：mc admin config set或客户端--encrypt-key参数。

参考来源：