MinIO Linux安装后如何配置安全组 - 问答

MinIO Linux安装后的安全组配置

一端口与访问范围

确认 MinIO 实际监听的端口：API 默认 9000，控制台默认 9001。如使用自定义端口，以启动参数或进程实际监听为准（例如：minio server /data --console-address “:9001”）。
安全组仅对需要来源开放：生产环境建议对 API 与控制台分别放通，并尽量缩小来源范围（例如仅内网网段或跳板机网段）。
如启用 TLS/HTTPS，端口可保持不变，但建议使用 443/8443 并配合反向代理或负载均衡进行证书管理。

二云厂商安全组规则示例

入方向放通规则（示例）：

方向	协议	端口	源地址	用途	建议
入方向	TCP	9000	应用服务器/内网网段（如 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）或指定公网 CIDR	S3 API	避免使用 0.0.0.0/0
入方向	TCP	9001	运维/堡垒机网段	控制台	可限制为更小网段
入方向	TCP	22	运维网段	SSH 管理	仅放通必要来源

操作要点
- 规则优先级：将精确来源的规则放在前面，最后的拒绝规则兜底。
- 命名规范：为规则添加描述（如“MinIO-API-内网”）。
- 变更窗口：在业务低峰期变更，变更后及时验证。

三操作系统防火墙放行

firewalld（CentOS/RHEL/Fedora）

sudo firewall-cmd --permanent --zone=public --add-port=9000/tcp
sudo firewall-cmd --permanent --zone=public --add-port=9001/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --list-ports  # 验证

ufw（Ubuntu/Debian）

sudo ufw allow 9000/tcp
sudo ufw allow 9001/tcp
sudo ufw status verbose     # 验证

注意：云主机需同时完成“安全组”和“系统防火墙”两处放行，缺一不可。

四验证与连通性测试

本机/内网连通性

nc -vz <服务器IP或域名> 9000
nc -vz <服务器IP或域名> 9001
curl -I http://<服务器IP或域名>:9000/minio/health/live

控制台访问：浏览器打开 http://<服务器IP或域名>:9001，使用配置的 Access Key/Secret Key 登录。
公网访问：如从公网访问，请确认云安全组与运营商/本地防火墙均已放行对应端口，且应用使用 API 端口 9000 进行 S3 交互。

五安全加固建议

最小暴露面：仅放通必要来源；控制台与管理端口尽量限制为内网或跳板机访问。
加密传输：启用 TLS/HTTPS（可使用反向代理/负载均衡终止证书），避免明文传输凭据与数据。
凭据与访问控制：使用强随机的 Access Key/Secret Key，遵循最小权限原则，定期轮换密钥。
日志与监控：开启并集中采集 MinIO 服务日志，结合云监控/主机监控设置告警。

0 赞

0 踩