Русский

English
简体中文
Türkçe
日本語
Français
Deutsch
Español
한국어

Русский

English
简体中文
Türkçe
日本語
Français
Deutsch
Español
한국어

Appearance

Контрольный список безопасности

Для безопасного развертывания RustFS ниже собраны лучшие практики. Рекомендуем проверять пункты по списку для надежности системы.

1. Аутентификация и управление доступом

  • Используйте аутентификацию, совместимую с S3 (AWS Signature V4). Каждый пользователь/сервис должен иметь валидные Access Key/Secret Key; не пропускайте аутентификацию.
  • Принцип наименьших привилегий. Политики на уровне групп/пользователей. Любая неразрешенная операция — deny по умолчанию.

2. Шифрование трафика (TLS/SSL)

  • Включите TLS/SSL. Отдельные домены и сертификаты для внешнего и внутреннего доступа, версии протокола TLS1.2+
  • Управление сертификатами: доверенные CA (или внутренняя корневая), актуальные/не просроченные. Приватные ключи — строгие права доступа
  • Мульти‑домен/набор шифров: выделяйте сертификаты по доменам; используйте рекомендованные алгоритмы (2048‑бит RSA или 256‑бит ECC)

3. Переменные окружения и учетные данные

  • Смените дефолтные пароли/ключи после установки
  • Храните секреты безопасно: без хардкода в скриптах/образах/логах; используйте переменные окружения или Kubernetes Secret

4. Журналы и аудит

  • Включите аудит: RustFS может экспортировать журналы в HTTP Webhook, Kafka, ELK, Splunk
  • Сбор рантайм‑логов: используйте системные средства (systemd, Docker, K8s) и ELK/Grafana Loki
  • Мониторинг и оповещения: логины с ошибками, необычное время доступа, массовые удаления и т.д.
  • Наблюдаемость: RustFS поддерживает глубоко наблюдаемые окружения, с возможностью точной профилировки. Тюнингуйте по среде

5. Ограничения API‑доступа

  • Ограничьте сетевой доступ: по умолчанию S3 API — 9000/tcp, консоль — 9090/tcp; фильтруйте источники IP
  • Сетевой периметр: используйте реверс‑прокси (например, Nginx); избегайте прямой публикации IP узлов хранения
  • Закрывайте лишние порты/интерфейсы; не публикуйте админ‑интерфейс в Интернет

6. WORM (только чтение)

  • Версионирование и блокировка объектов — для соответствия требованиям (финансы, гос.)

7. Обновления и версии

  • Применяйте обновления и патчи своевременно; следите за релизами RustFS
  • Бесшовные обновления: пошаговый рестарт узлов
  • Следите за обновлениями ОС и базовых библиотек (например, OpenSSL)

Итог: используйте список перед вводом в эксплуатацию и периодически пересматривайте его для повышения устойчивости.

Опубликовано под лицензией Apache 2.0.

Copyright © 2025 RustFS