minio 做為比較熱門的開源s3 服務,受到好多團隊的青睐,使用率還是比較高的,如果我們的服務是部署在内網的還好
一般不用太擔憂安全問題(但是也得做好内網的安全防護),但是如果直接将s3 服務暴露到公網問題就比較多了,解決
方法很多,比如使用waf,自己配置一些安全政策,以下是基于nginx limit_except 搞一個minio 快速的安全防護
參考玩法
核心是利用了limit_except 隻允許,get,head, 以及options 請求,對于delete 以及put,post 等操作都禁用,好處比較明顯
我們隻會暴露我們需要提供給使用者資源(主要是get),一般就不能利用我們的put 以及delete 操作了
參考玩法
- docker-compose 檔案
version: '3'
services:
minio:
image: minio/minio
ports:
- "9000:9000"
- "19001:19001"
environment:
MINIO_ROOT_USER: minio
MINIO_ROOT_PASSWORD: minio123
command: server --console-address :19001 --quiet /data
nginx:
image: openresty/openresty:alpine-fat
volumes:
- ./nginx.conf:/usr/local/openresty/nginx/conf/nginx.conf
ports:
- 80:80
nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
gzip on;
real_ip_header X-Forwarded-For;
resolver 127.0.0.11;
real_ip_recursive on;
server {
listen 80;
server_name localhost;
charset utf-8;
# 基于nginx 暴露最小的請求路徑,同時限制隻能使用get head 以及options 請求
location /apps/ {
limit_except GET HEAD OPTIONS{
deny all;
}
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_connect_timeout 300;
# Default is HTTP/1, keepalive is only enabled in HTTP/1.1
proxy_http_version 1.1;
proxy_set_header Connection "";
chunked_transfer_encoding off;
proxy_pass http://minio:9000;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}