解决 Minio 访问存储桶文件目录泄露问题

约 286 字小于 1 分钟

2026-02-01

~~最近发现Minio有重大漏洞~~，自己将存储池配置成了public_(bushi)，造成了使用put、delete等http请求可以直接操作存储桶文件目录，导致数据泄露。

配置存储桶策略 (Bucket Policy)

MinIO 支持基于 JSON 的存储桶策略，您可以配置这些策略来严格控制谁可以对存储桶执行哪些操作。为了防止存储桶文件目录泄露，您应该配置一个拒绝 s3:ListBucket 操作的策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::your-bucket-name"
    }
  ]
}

我们可以配置自定义的策略，公共读，不允许写入删除等操作


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::your-bucket-name/*"
      ]
    },
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": [
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:PutBucketPolicy",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": [
        "arn:aws:s3:::your-bucket-name",
        "arn:aws:s3:::your-bucket-name/*"
      ]
    }
  ]
}

将 your-bucket-name 替换为您实际的存储桶名称。这个策略会阻止任何人列出该存储桶的内容，除非他们有显式权限。

贡献者

顾拾柒

更新日志

2026/2/1 23:08

查看所有更新日志

24f1d-docs: 重构文档结构并迁移内容至新分类于 2026/2/1

Docker

Docker Compose

Kubernetes

项目推荐

Centos

Ubuntu

Alpine

Debian

组件安装

Minio对象存储

Nacos配置中心

Nginx

PostgreSQL

系统运维

Proxmox VE

解决 Minio 访问存储桶文件目录泄露问题

配置存储桶策略 (Bucket Policy)

贡献者

更新日志