2. 程式人生 > 實用技巧 >monio 的一些安全實踐

monio 的一些安全實踐

阿新 發佈:2020-07-18

這個本來屬於s3 的特性,但是我們在實際使用的過程中肯定不想別人直接可以通過瀏覽器或者http就可以可以我們的檔案內容
這個屬於安全的控制,以下是一個實踐以及一些安全控制

一些原則

  • 不能直接暴露minio 訪問到公網環境(可以基於nginx,以及反向代理工具解決)
  • 配置合理的bucket 策略,可以直接使用預設的,但是對於網際網路訪問最好合理配置policy,對於靜態站點使用按需 read only
  • 推薦基於nginx 做lb 以及cache
  • 禁用管理介面
MINIO_BROWSER=off
  • 可以基於nginx 的rewrite 以及if 控制public 列表檔案的展示(xml 檔案內容列表)openresty 的access_by_lua_block 更好點(基於正則,比較推薦)
    openresty access_by_lua_block 的配置
location ~* ^/demo {
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-For $remote_addr;
    client_body_buffer_size 10M;
    client_max_body_size 10G;
    proxy_buffers 1024 4k;
    default_type text/html;
    access_by_lua_block {
 
      -- 對於demo 的minio bucket 禁用列表列出
      local m, err = ngx.re.match(ngx.var.uri,[[^(\/demo)(\d+)(\/?)$]])
      if m then
         ngx.exit(ngx.HTTP_FORBIDDEN)
      end
    }
    index index.html index.htm index;
    proxy_read_timeout 300;
    proxy_next_upstream error timeout http_404;
 
    proxy_pass http://minio:9000;
}

說明

以上是一些自己的實踐,歡迎討論

參考資料

https://docs.min.io/cn/minio-server-configuration-guide.html
https://github.com/openresty/lua-nginx-module#access_by_lua_block

相關推薦

monio一些安全實踐

這個本來屬於s3 的特性,但是我們在實際使用的過程中肯定不想別人直接可以通過瀏覽器或者http就可以可以我們的檔案內容

Dotnet Core Public API的安全實踐

公開API的安全,其實更重要。   一、API的安全 作為一個Dotnet Core的老司機,寫API時,能兼顧到API的安全,這是一種優雅。

雲原生之容器安全實踐

https://tech.meituan.com/2020/03/12/cloud-native-security.html 概述 雲原生(Cloud Native)是一套技術體系和方法論,它由2個片語成,雲(Cloud)和原生(Native)。雲(Cloud)表示應用程式位於雲中,而不是傳統

Kubernetes 最佳安全實踐指南

原文連結:https://fuckcloudnative.io/posts/security-best-practices-for-kubernetes-pods/ 對於大部分 Kubernetes 使用者來說,安全是無關緊要的,或者說沒那麼緊要,就算考慮到了,也只是敷衍一下,草草了事。

extern 定義_功能安全實踐 | 定義程式設計Style和命名規則

技術標籤:extern 定義標頭檔案定義全域性變數巨集定義中有浮點數高質量c++程式設計指南

使用python完成對http請求的響應及一些安全策略

技術標籤:linux後端pythoncentos 使用python完成對http請求的響應及一些安全策略 Web主機配置

url引數接收的一些安全應用場景

   越權漏洞,從原來的修改id越權到後面的自己加引數,減引數越權,到現在的加特殊字元.攻擊手段在進步:

RaspKaliPi魔改之路(二)safari跟我有仇——一些安全措施

寫在最前: 這個系列將會記錄我個人改造樹莓派的一些踩坑記錄。為了方便閱讀,以專題為單位拆分文章,不過文章之間仍有較強的聯絡,感興趣的可以從頭讀到尾。

資料安全實踐指南要點記錄-資料流動-資料安全治理

目錄 資料流動 資料治理與資料安全治理 技術詮釋 資料流動 資料採集 系統日誌採集,業界所採用到的技術工具包括Fluentd,Logstash,Flume,Scribe,Logagent,Logtail

《資料安全實踐指南》- 資料採集安全管理

資料採集安全管理 資料採集安全管理是整個資料採集安全階段的重要步驟,可用於明確資料採集的目的及用途,採集方式和方法,採集資料的格式等,用以保證資料採集過程的合規性,正當性和一致性。

《資料安全實踐指南》- 資料來源鑑別及記錄

資料來源鑑別及記錄 資料來源鑑別及記錄是資料採集安全過程中的重要步驟,可分為資料來源鑑別和資料來源記錄兩部分,資料來源鑑別是指對收集的資料來源進行身份識別,以防止組織機構採集到其他非法或不被認可的資料

《資料安全實踐指南》- 資料質量管理

資料質量管理 資料質量管理可以確保資料的質量得到可靠保障,從而使得資料安全保護的物件具有更高的價值,在資料採集的整個過程中,資料質量管理可以保證資料採集過程中收集和產生的資料具有一致性,完整性和可用性

《資料安全實踐指南》- 資料傳輸安全實踐-資料傳輸加密

資料傳輸安全實踐 資料傳輸安全存在兩個過程域分別為資料傳輸加密和網路可用性管理

《資料安全實踐指南》- 資料儲存安全實踐-儲存介質安全

儲存介質安全 儲存介質安全是資料儲存安全中的一個重要部分,對資料的儲存介質(如磁碟,硬碟,虛擬容器,虛擬機器等)進行管理,可以有效防範因為儲存介質的不當使用而引發的資料洩露風險。

宜信SDL實踐:產品經理如何驅動產品安全建設

一、序言 本文從產品經理的角度出發,對產品經理的安全職責、產品驅動安全的內涵、工作內容、工作方法、所需安全資源、以及產品經理的安全工作量進行了分析。希望所有產品經理在沒有心理負擔的情況下,有目標、有方法

看雪-課程-Windows核心安全程式設計實踐之路-筆記

看雪-課程-Windows核心安全程式設計實踐之路-筆記 July 16, 2020 10:30 PM 環境搭建 安於此生@ExpLife,https://www.github.com/explife0011

關於 Optional 的一些實踐

為 Optional 新增 extension extension Optional where Wrapped == String { var safeValue: String { return self ?? \"\"

“讓Keras更酷一些!”:中間變數、權重滑動和安全生成器

轉載:https://spaces.ac.cn/archives/6575 今天我們會用Keras實現靈活地輸出任意中間變數,還有無縫地進行權重滑動平均,最後順便介紹一下生成器的程序安全寫法。

保障MySQL資料安全一些建議

資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲(拖庫的諧音,意思是整個資料庫

關於為什麼使用React新特性Hook的一些實踐與淺見

前言 關於Hook的定義官方文件是這麼說的: Hook 是 React 16.8 的新增特性。它可以讓你在不編寫 class 的情況下使用 state 以及其他的 React 特性。