Minio上传策略漏洞_关闭列出文件访问列表_使用自定义桶策略_CUSTOM---Ruoyi-Cloud-Plus工作笔记207

最新推荐文章于 2025-05-27 18:10:35 发布

添柴程序猿

最新推荐文章于 2025-05-27 18:10:35 发布

阅读量277

点赞数

CC 4.0 BY-SA版权

分类专栏：前端UI&后端&分布式文章标签： minio漏洞 minio自定义桶策略 minio禁用列表返回

本文为博主原创文章，未经博主添柴程序猿允许不得转载违者追究法律责任。

本文链接：https://blog.youkuaiyun.com/lidew521/article/details/146605828

前端UI&后端&分布式专栏收录该内容

503 篇文章 ¥9.90 ¥99.90

订阅专栏

超级会员免费看

被专业测试机构,测试指出来的问题

http://xxx.xxx.xxx.xxx:9000/debg/2025/03/26/329bd15b346343b08648cfeeceefd799.jpg

比如minio对于这个文件可以正常访问是没问题的,但是

如果,这样:

http://xxx.xxx.xxx.xxx:9000/debg/

也可以访问就出问题了.如果列出所有文件的列表了,这样就不安全,那么怎么修改?

可以看到找到对应的桶,然后如果策略原来是public,那么现在修改一下

点击编辑,选择custom

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "*"
                ]
            },
            "Action": [

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

添柴程序猿

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

Docker中MinIO数据安全和备份恢复详解：从基础到生产的全方位指南

weixin_42593797的博客

06-02

593

本文深入探讨Docker环境下MinIO的安全防护与数据管理策略，从以下三方面构建完整方案：安全防护体系、数据持久化策略、备份恢复方案。全文结合具体代码示例，为构建高安全、高可用的MinIO对象存储系统提供实践指导。

minio8.x版本设置policy桶策略

qq_48329942的博客

01-21

1万+

文章目录前言一、policy策略1）7.0版本实现方式2）8.0后设置桶策略二、policy-理解json字符串含义1.新建桶是什么策略2.设置桶的规则3.用java代码完成1）将桶设置为public2)桶内文件夹权限设置4.prefix是断言吗？5.java代码设置桶策略总结前言 minio是一个文件存储服务器，他实现了亚马逊s3协议，所以在文件管理管理上有着更加细粒的权限划分，同时它有着部署简便，支持大数据存储，上传下载速度快。分布式部署可以实现纠删码防止文件丢失特性。今天这篇文章主要讲mini..

参与评论您还未登录，请先登录后发表或查看评论

Linux环境MinIO单机安装、集群搭建，数据同步，策略示例。

09-19

Linux环境MinIO单机安装、集群搭建，数据同步，策略示例。超详细，一步步学会并启动

Minio 教程 - Minio 之权限控制策略

qq_33240556的博客

05-14

4739

对于更细粒度的控制，可以创建自定义IAM策略。自定义策略允许你针对特定的存储桶或者对象，甚至是操作（如上传、下载、删除等）设置权限。策略以JSON格式编写，包含一组声明（Statements），每个声明定义了哪些主体（Principal）、在什么条件下（Condition）、对哪些资源（Resource）拥有何种权限（Action）。

linux 通过命令将 MinIO 桶的权限设置为 Custom（自定义策略)

最新发布

qq_41451744的博客

05-27

956

Ubuntu下设置MinIO桶自定义策略的方法使用mc工具（推荐）安装mc并配置MinIO别名创建JSON格式的自定义策略文件执行mc policy set-json应用策略支持IP限制等精细权限控制 AWS CLI方式安装配置AWS CLI连接MinIO 使用put-bucket-policy设置策略兼容AWS S3的IAM策略语法 API调用通过curl直接调用MinIO API 需手动计算签名，适合无客户端环境 Python脚本使用boto3库编写策略管理脚本适合集成到自动化运维流

Minio访问策略配置

晴天のVlog

11-12

1477

Minio配置访问Access Policy改为Custom填入下面的策略即可（填入前需要把注释去除不然复制进去会报错，或者你复制下发没有注释的也行）Minio Console创建即可。

MinIO自定义权限策略语法深度解析

Dxy1239310216的博客

05-11

690

本文深入探讨了MinIO在企业级对象存储解决方案中的权限控制机制，重点解析了其基于JSON的策略语法体系。文章从策略语法架构、核心组件、实战案例三个维度展开，详细介绍了MinIO权限策略的版本声明、权限声明、动作体系、资源定位策略和条件表达式等关键要素。通过典型应用场景如部门级数据隔离、临时审计权限和合作伙伴数据共享，展示了MinIO在实际应用中的灵活性和安全性。文章还提供了最佳实践建议和故障排除指南，强调了最小权限原则、资源隔离设计、条件约束优化和运维管理规范的重要性。最后，文章总结了MinIO自定义权限

Lsky Pro搭建配置Minio存储策略(本地实现)

缘友一世的博客

06-14

2168

安装完成后，可以在数据库Mysql中看到服务已启动。使用1panel安装Lsky：在应用商店中搜索。：注意勾选允许外部端口访问。

minio几种访问策略

全栈攻城狮JSON的博客

11-20

3万+

minio访问策略设置分两种： 桶策略 用户策略一、web端设置桶策略 桶的创建者拥有管理桶的权限，其他未授权用户不可管理桶桶默认可以有三种Access Policy策略： public、custom、private 1.1、public 设置桶权限为public 不经过任何认证可以直接访问资源 1.2、custom 这种Access Policy策略是通过如下自定义Access Rules出现的 1.1.1、readonly 可以设置资源不经过授权，只能读取 1.1.2、writeonl

CVE-2023-28432 MiniO信息泄露漏洞复现

Love&Share

04-28

9139

MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中，未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息（MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD），可能导致攻击者以管理员权限登录 Minio，分布式部署的所有用户都会受到影响，单机用户没有影响。

MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

qq_35476650的博客

03-24

8278

MinIO 是一种开源的对象存储服务，它兼容 Amazon S3 API，可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统，它可以存储大量数据，并提供对数据的高速读写能力。MinIO 采用分布式架构，可以在多个节点上运行，从而实现数据的分布式存储和处理。MinIO verify接口存在敏感信息泄漏漏洞，攻击者通过构造特殊URL地址，读取系统敏感信息。

minio如何给桶设置public权限并禁止public桶列出全部文件

weixin_52097724的博客

07-19

1万+

minio公共桶权限相关

minio纠删码启动部署和用户策略

weixin_48624235的博客

11-25

646

minio纠删模式启动

MinIO杂谈（bucket、对象Object管理、策略policy生成、创建临时用户user）

as350144的专栏

04-05

7337

Minio杂谈，文件对象管理器（集成MinIO、阿里云OSS基本操作及临时token获取）

Minio入门系列【10】Minio之权限控制策略

记录知识、锤炼自我

10-20

4万+

前言本段文章来源于华为云OBS，因为都是S3标准的对象存储，所以很多概念和Minio是相通的。为什么要进行访问权限控制（华为OBS）为保证存储在SSO中数据的安全性，SSO资源（桶和对象）默认为私有，只有资源拥有者可以访问。如果要允许他人访问和使用自己的SSO资源，可以设置访问权限控制策略，向他人授予指定资源的特定权限。访问权限控制的典型场景（华为OBS） OBS如何进行访问权限控制（华为云） OBS提供丰富灵活的访问权限控制手段，满足不同场景下的授权需求。 IAM用户权限控制相对比阿

SpringBoot 封装Minio 文件服务器基本操作(桶创建、桶策略修改、文件上传、文件下载、文件删除)等基础功能

zhouzhiwengang的专栏

04-09

6762

1、Minio简介 Minio是GlusterFS创始人之一Anand Babu Periasamy发布新的开源项目。可以做为云存储的解决方案用来保存海量的图片，视频，文档。由于采用Golang实现，服务端可以工作在Windows,Linux, OS X和FreeBSD上。配置简单，基本是复制可执行程序，单行命令可以运行起来。 2、Minio 依赖Jar包 <dependency> <groupId>io.minio</grou...

Minio 架构师必备掌握知识点概览

欢迎来到我的技术分享博客！这里将带你深入了解AI技术、Java架构设计、系统开发与优化等前沿技术内容。我专注于从实战经验

07-05

1183

掌握上述技能点和知识将帮助您成为一名合格的 MinIO 架构师，不仅能够高效地管理 MinIO 集群，还能确保系统的高可用性、安全性和性能。不断学习和实践，是成为专家的关键。

minIO如何设置直接通过访问链接在浏览器中打开文件