RustFS 重要版本变更,让容器化部署更安全

最新推荐文章于 2025-11-24 17:47:29 发布
原创 最新推荐文章于 2025-11-24 17:47:29 发布 · 361 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #rust #docker

随着 RustFS 的持续走热,越来越多的用户开始关注并使用 RustFS,而且在整个过程中提出了很多关键问题。其中在 Start the container using a non-root user #804
中,whg517 用户提出,从安全最佳实践角度出发,RustFS 在容器化运行状态下(包括 docker 部署和 k8s 部署),RustFS 实例应该以非 root 用户运行,并且添加更多安全加固措施。

截屏2025-11-13 13.03.15.png

以非 root 运行容器是业界的安全最佳实践共识,因此 RustFS 修改了 Dockerfile,具体包括:

  • 创建 UID 和 GID 均为 1000 的用户 rustfs
  • rustfs 进程以 rustfs 用户启动;
  • 针对 k8s 部署,还增强了 securityContext 部分内容;

上述变更在 1.0.0-alpha.68 版本正式生效。在版本发布后,我们在 GitHub Issue 上看到有用户从 1.0.0-alpha.67 升级到 1.0.0-alpha.68 出现了 permission denied 错误:

截屏2025-11-13 13.10.51.png

为此,受影响用户可遵循下面的方法进行问题修复并升级。

注意:此变更仅影响容器化运行用户,对于通过脚本或者二进制安装的用户,不受此影响。而且仅影响 1.0.0-alpha.67 及之前版本的用户,后续版本不受影响。

Kubernetes 用户

对于 Kubernetes 用户,此次变更不受影响,因为在 Helm chart 编写之初就增加了 securityContext 部分内容,而且在 pod 中通过 initContainer 来对 /datalogs 目录的权限进行了修改(USER 和 GROUP 均为 1000),此次升级变更不会导致 Kubernetes 用户出现 permission denied 错误。

Docker 用户

对于使用 docker run 或者使用 docker compose 的用户来说,修复该错误的核心原理就是将 RustFS 使用的 /data/logs 两个目录的用户和群组修改为 1000 即可。过程如下:

  • 回滚至 1.0.0-alpha.67 版本

用户可以先会滚至 1.0.0-alpha.67 版本,然后进入到容器中,将 /data/logs 目录的用户和群组从 root 更改至 1000

docker exec -it rustfs sh
chown -R 1000:1000 /data/
chown -R 1000:1000 /logs/
ls -ld /data/
drwxr-x--- 5 1000 1000 4096 Nov 12 04:06 /data/
ls -ld /logs/
drwxr-x--- 5 1000 1000 4096 Nov 12 04:06 /logs/
  • 升级至 1.0.0-alpha.68

直接升级到 1.0.0-alpha.68(或 latest,当前 latest 就是 68 版本)即可。升级成功之后可查看 rustfs 日志并查看 rustfs 进程运行的用户:

docker exec -it rustfs sh
/ $ id
uid=1000(rustfs) gid=1000(rustfs) groups=1000(rustfs)
/ $ whoami
rustfs
/ $ ps
PID   USER     TIME  COMMAND
    1 rustfs    0:15 /usr/bin/rustfs /data
   36 rustfs    0:00 sh
 8057 rustfs    0:00 ps
/ $ ls -ld /data/
drwxr-x--- 5 rustfs rustfs 4096 Nov 12 04:06 /data/
/ $ ls -ld /logs/
drwxr-xr-x 2 rustfs rustfs 4096 Nov 13 04:07 /logs/

RustFS 的安装

目前 RustFS 支持多种安装方式

  • 二进制下载安装或脚本安全
  • Docker 安装
  • Helm Chart 安装

安装方式和步骤可查看 RustFS 官网

如果您想使用 docker 安装,可参考如下 docker-compose.yml

services:
  rustfs:
    image: rustfs/rustfs:1.0.0-alpha.68
    container_name: rustfs
    hostname: rustfs
    environment:
      # Use service names and correct disk indexing (1..4 to match mounted paths)
      - RUSTFS_VOLUMES=/data
      - RUSTFS_ADDRESS=0.0.0.0:9000
      - RUSTFS_CONSOLE_ENABLE=true
      - RUSTFS_CONSOLE_ADDRESS=0.0.0.0:9001
      - RUSTFS_ACCESS_KEY=rustfsadmin
      - RUSTFS_SECRET_KEY=rustfsadmin
      - RUSTFS_CMD=rustfs
    ports:
      - "9000:9000"  # API endpoint
      - "9001:9001"  # Console
    volumes:
      - data:/data
      - logs:/logs
    healthcheck:
      test:
        [
        "CMD",
        "sh", "-c",
        "curl -f http://localhost:9000/health && curl -f http://localhost:9001/health"
        ]
      interval: 10s
      timeout: 5s
      retries: 3
      start_period: 30s
    networks:
      - rustfs

networks:
  rustfs:
    driver: bridge
    name: rustfs

volumes:
  data:
    driver: local
  logs:
    driver: local

欢迎大家使用 RustFS 作为对象存储系统,目前 RustFS 还在持续研发迭代中,如果您有任何问题,可以通过 GitHub:https://github.com/rustfs/rustfs 提 Issue 或 PR。

rustfs
关注
国产开源高性能对象存储RustFS保姆级上手指南
weixin_48552411的博客
07-04 6406
本文详细介绍了基于Rust语言开发的开源高性能分布式对象存储系统RustFS。它作为MinIO的国产化替代方案,完全兼容S3协议,具备高性能、分布式架构、开源安全、轻量级等核心特性,适用于AI/机器学习、大数据分析等多种场景。文章还提供了环境准备、安装配置(包括源码编译和Docker部署两种方式)、基本操作(Web控制台和S3 API操作)等快速上手指南,解答了常见问题,并介绍了其进阶功能、应用场景及学习资源,帮助用户快速上手这一存储解决方案。
选对存储系统,避免企业资源浪费:RustFS社区版 vs 商业版深度对比
gitblog_00026的博客
09-08 873
企业在选择分布式对象存储系统时,常常面临功能与成本的两难抉择。RustFS作为高性能分布式对象存储解决方案,提供社区版与商业版两种选择,满足不同规模企业的需求。本文将从功能特性、安全防护、部署维护和成本效益四个维度,为您提供清晰的对比分析与选择建议,助您做出最适合企业发展的决策。 ## 功能特性对比 ### 核心存储功能 RustFS社区版和商业版均基于Rust语言构建,提供高性能的分布式对象...
RustFS:MinIO的“平替”还是“乱杀”?
分布式存储与RustFS的博客
10-26 1294
国产存储系统RustFS在性能上全面超越MinIO,4K随机读提升42%,内存占用降低67%。其采用Rust语言实现内存安全,Apache2.0协议规避AGPLv3风险,支持国产化适配和智能分层存储。虽然生态建设尚不完善,但100%兼容S3协议,在AI训练、边缘计算等场景优势显著。技术选型需权衡性能、稳定性和生态成熟度,RustFS适合追求极致性能的团队,MinIO则符合稳定优先的需求。
RustFS版本升级指南:平滑过渡到最新版
gitblog_00180的博客
09-08 334
在分布式存储系统中,版本升级不仅仅是功能迭代,是系统稳定性、安全性与性能优化的关键环节。RustFS作为高性能分布式对象存储(Object Storage),其版本迭代频繁且包含重大改进。根据官方测试数据,从1.0.0-alpha.36升级到最新版可带来: - 写入性能提升37%(15GBps→20.55GBps) - 元数据操作延迟降低42%(P99从28ms→16ms) - 新增3项安全合规...
RustFS负载均衡:请求分发策略深度解析
gitblog_00694的博客
09-08 675
在大规模分布式存储系统中,负载均衡(Load Balancing)是决定系统吞吐量和稳定性的核心技术之一。RustFS作为高性能分布式对象存储系统,其请求分发策略直接影响数据读写效率、节点资源利用率和故障恢复能力。本文将从架构设计、算法实现到性能调优,全面剖析RustFS的负载均衡机制,帮助运维人员和开发者深入理解系统行为并进行针对性优化。 > **读完本文你将掌握**: > - RustFS分...
人工智能时代:以备案制度筑牢安全防线
最新发布
qq_58995858的博客
11-24 260
人工智能技术快速发展带来安全隐患,如自动驾驶事故、算法歧视等问题凸显。国家出台备案制度,要求AI产品提交技术资料和数据样本,增强透明度。该制度通过算法可解释性、公平性评估等机制,有效降低技术风险,提升用户信任。备案不仅是合规要求,是构建数字时代信任基石的关键举措,将推动AI行业健康有序发展。
汽车被动安全约束系统(PSCS)功能介绍
liuxu324的博客
11-20 511
本文主要对汽车被动安全约束系统(PSCS)相关知识进行介绍和总结,以加深理解,及方便后续查阅。
云原生安全
2509_93947362的博客
11-24 176
先聊聊容器安全这块硬骨头。另外,容器运行时也得盯紧,像Falco这种开源工具能实时监测异常操作,比如突然冒出的特权容器或者敏感目录访问,一有风吹草动就告警。云平台的原生安全工具也得用起来,比如AWS的Security Group和Azure的NSG,规则要最小权限原则,只开放必要端口。说实话,刚开始推行时总有人抱怨流程繁琐,等真防住几次零日漏洞攻击后,全员才意识到:云原生安全就是个持续博弈的过程,今天偷懒省一步,明天就可能全线崩盘。总之,云原生安全没有银弹,它得像编织渔网一样,把技术、流程、文化三层织密。
【2025-11-23】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
jenchoi413的博客
11-24 324
2025年11月23日共发布14条漏洞预警,包括11条CVE漏洞和3条供应链投毒预警。CVE漏洞涉及Ashraf Kabir旅行社系统(5.3-5.1中危)、D-Link路由器(7.4高危)和Campcodes管理系统(6.9中危),主要风险为SQL注入和缓冲区溢出。供应链投毒预警包括PyPI的nspacercesolve组件窃取敏感信息、NPM的ddos-hunter组件勒索行为以及session-keeper等组件内嵌后门,影响多个版本。建议用户及时排查相关组件,高危漏洞需优先修复。
4.12、隐私保护机器学习:联邦学习在安全数据协作中的应用
骥龙信息的博客
11-24 812
在数据孤岛与隐私监管的双重挑战下,联邦学习正成为安全协作的新范式。本文深入探讨如何让多个分支机构在不共享原始数据的前提下,协同训练强大的威胁检测模型,实现"数据不动模型动"的安全协作。
【2025-11-19】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
jenchoi413的博客
11-21 532
2025年11月19日新增91条漏洞预警,其中商业软件漏洞63条,供应链投毒28条。重点漏洞包括:Eclipse Jersey竞争条件漏洞(9.4分高危),可能导致SSL配置失效;Fortinet系列产品多漏洞,其中FortiVoice存在SQL注入(8.8分高危),FortiWeb存在命令注入(7.2分高危);Checkmk监控平台存在权限验证不足问题(5.3分中危)。建议优先修复Eclipse Jersey和Fortinet产品的高危漏洞,其他中低危漏洞可根据实际情况选择修复。
VR机动车驾驶系统——驶入虚拟,握紧安全
xhyyvr的博客
11-21 1456
VR 机动车驾驶模拟系统依托虚拟现实技术,核心是让用户在安全仿真环境中,既体验逼真驾驶感,又系统学习交通安全知识。它通过 “沉浸式体验 + 案例警示”,让用户直面危险驾驶后果。
防止 iOS 应用被二次打包,从完整性校验到 IPA 成品混淆的多层安全方案
2501_91592143的博客
11-24 805
本文介绍防止 iOS 应用被二次打包的完整方案:通过 MobSF/class-dump 分析风险,Ipa Guard CLI 混淆 IPA 并扰动资源(图片 MD5、JS/H5 路径),kxsign 重签验证,Frida/Hopper 逆向测试,再结合完整性校验与 KMS 管理映射表,构建可回滚的多层防护体系。
文件格式转换工具:浏览器沙箱内的数据解析、结构化与安全转换
2501_94011970的博客
11-21 451
通过利用 JavaScript 库在浏览器沙箱中直接解析 XLSX 等复杂的二进制格式,并进行安全的结构化编码,我们能够实现高效、高隐私性的文件转换服务。这种“计算向客户端转移”的模式,是未来所有处理敏感数据的 Web 应用的工程趋势。文件格式转换,尤其是 Excel 到 CSV 这种涉及复杂二进制结构到纯文本结构的转换,是对 Web 前端数据解析能力的一次深度考验。,其核心价值在于其对**“完全在浏览器中运行”**的安全承诺。实现 Excel 到 CSV 的前端转换,需要经历一个复杂的。
24H-无人共享KTV:如何实现安全的自助服务?
11-24 580
在传统KTV行业面临迭代升级的今天,一种名为"无人共享KTV"的新消费形态正以破竹之势席卷全国。凭借24小时营业、智能交互系统和极致私密体验,这种新模式尤其受到Z世代消费者的追捧。那么,在完全无人值守的环境下,这些KTV是如何保障用户安全并提供流畅自助服务的呢?本文将深入探讨其背后的技术原理与实现方案。
图像的安全读取与保存指南-基于Python的OpenCV库
Dfreedom.的博客
11-20 811
OpenCV图像处理中,cv2.imread()无法直接处理中文路径,可通过二进制读取配合cv2.imdecode()解决。文章介绍了两种核心功能:1)采用np.fromfile读取文件并通过cv2.imdecode解码,支持中文路径及多通道保留;2)智能保存方法针对不同格式(TIFF/PNG/JPEG等)设置优化参数。代码示例展示了单文件处理和批量处理场景,包括路径管理、格式转换和错误处理。该方法有效解决了中文路径兼容性问题,确保了图像数据的完整性。
人工智能时代的数据隐私与安全:挑战与应对策略
2501_94187874的博客
11-20 935
在人工智能飞速发展的今天,数据已经成为驱动技术进步的关键动力。无论是智能推荐系统、语音识别、医疗辅助诊断,还是智慧城市建设,人工智能都离不开高质量的数据。然而,。如何在利用数据推动技术创新的同时,确保个人隐私与信息安全,成为全社会必须面对的重要课题。本文将深入探讨人工智能时代数据隐私保护的重要性,分析当前面临的主要挑战,并提出可能的解决路径。
Python安全扫描
2509_93946182的博客
11-22 279
跑完扫描发现三个中危漏洞:Cookie没有设置HttpOnly属性,某个接口存在CSRF风险,还有图片上传功能没做文件类型校验。修复后重新扫描时特意调整了策略,把扫描强度调到最高,最大请求数设为5000,果然又揪出几个隐蔽的路径遍历漏洞。用safety检查依赖时心跳骤停:正在使用的requests版本存在CVE-2020-26137,Flask版本也有模板注入漏洞。这个检查器成功捕获了同事写的危险SQL拼接代码,避免了一个潜在的SQL注入漏洞。灰度扫描策略:先用低敏感度扫描建立基线,再逐步提高检测强度。
docker 部署 RustFS
10-29
使用 Docker 部署 RustFS 的详细步骤如下: #### 准备工作 创建数据和日志目录,并赋予相应的权限: ```bash mkdir -p /data/rustfs/{data,logs} && chmod -R 777 /data/rustfs ``` #### 启动容器 使用 `docker run` 命令启动 RustFS 容器,以下是一个示例命令: ```bash docker run -d \ --name rustfs \ --restart unless-stopped \ -p 9000:9000 \ -v /data/rustfs/data:/data \ -v /data/rustfs/logs:/logs \ -e RUSTFS_ROOT_PASSWORD=your_secure_password \ rustfs/rustfs:latest ``` 在上述命令中: - `-d`:表示以守护进程模式运行容器。 - `--name rustfs`:为容器指定名称为 `rustfs`。 - `--restart unless-stopped`:设置容器的重启策略,除非手动停止,否则容器会在退出时自动重启。 - `-p 9000:9000`:将容器内的 9000 端口映射到宿主机的 9000 端口。 - `-v /data/rustfs/data:/data`:将宿主机的 `/data/rustfs/data` 目录挂载到容器内的 `/data` 目录,用于存储数据。 - `-v /data/rustfs/logs:/logs`:将宿主机的 `/data/rustfs/logs` 目录挂载到容器内的 `/logs` 目录,用于存储日志。 - `-e RUSTFS_ROOT_PASSWORD=your_secure_password`:设置 RustFS 的管理员密码。 - `rustfs/rustfs:latest`:指定要使用的 RustFS 镜像及其版本。 #### 其他参数配置 如果需要多的参数配置,可以参考以下示例,添加多的环境变量和命令行参数: ```bash docker run -d \ --name rustfs_container \ -p 9000:9000 \ -p 9001:9001 \ -v /mnt/rustfs/data:/data \ -e RUSTFS_ACCESS_KEY=rustfsadmin \ -e RUSTFS_SECRET_KEY=rustfsadmin \ -e RUSTFS_CONSOLE_ENABLE=true \ -e RUSTFS_SERVER_DOMAINS=example.com \ swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/rustfs/rustfs:latest \ --address :9000 \ --console-enable \ --server-domains example.com \ --access-key rustfsadmin \ --secret-key rustfsadmin \ /data ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值