介绍
对象存储(CT-ZOS,Zettabyte Object Storage)由天翼云提供的高可靠、弹性、高性价比的存储产品,专为云计算、大数据和非结构化数据而设计。它使用S3协议和标准服务接口,使客户可以通过云存储服务来存储各种非结构化数据,包括图片、音视频、文本等格式文件。
天翼云的对象存储费用来说还是很便宜的
充值后才可使用
这点儿跟京东云基本一致,仅针对付费用户。充值成功后即可创建订单
Bucket创建
选择私有读写权限创建即可
Bucket爆破
创建Bucket后可以发现外网访问的地址构成为Bucket名称+地域+zos.ctyun.cn
当访问不存在的Bucket时
返回信息显不存在该桶,当存在桶时返回的状态码明显不一致,这就增加了被爆破的风险。
配置不当
遍历
当文件设置为私有读写时,无法下载文件
当文件设置为公共读写时
文件可直接遍历下载
信息泄露
天翼云个人认证后,账户名为个人实名,当桶设置为公共读写时会泄露个人的实名信息以及桶内存储数据
AK/SK泄露
天翼云的zos的密钥是自动生成的
AK/SK可以随时查看,可重置但是无法同时创建多个AK/SK
这里使用S3FS进行挂载存储桶
echo EELUY30V9KEW52M8FYII:NpoVpstyR7LOGfmc1J9AxS62e6P0Esp8C8GpoTxM>/etc/passwd-s3fs
sudo apt install s3fs
使用命令进行挂载
s3fs ctyun-01 ctyun -o passwd_file=/etc/passwd-s3fs -o url=https://beijing-5.zos.ctyun.cn
Centos使用命令安装S3F3
sudo yum install epel-release
sudo yum install s3fs-fuse
文件授权
chmod 600/etc/passwd-s3fs
本地创建一个目录文件存放挂载文件
mkdir /ctyun
使用命令进行挂载
s3fs ctyun-01 ctyun -o passwd_file=/etc/passwd-s3fs -o url=https://beijing-5.zos.ctyun.cn
成功挂载,实现存储桶数据接管
ZOSBrowser工具
天翼云比较有意思的是AK/SK的利用工具直接提供好了,下载地址
https://www.ctyun.cn/v2/portal/s/DHl8uIfyjbSOLJfgwiJKjePayMv7AIrUAcEC6Y77g6NeIiMaR4dZJiadCEUV0n8SQmCq6FCCZovhhCon-ABGU7KIs8SBpcFJUs9kWS-8PCcx_Hvm2lV4Uq-15Z8zcGNurHZ76u2dlmSp-ayqUSkfXg
使用指南
https://www.ctyun.cn/s/q04sv38ZSzTBF4mEHo-3dVsyWITNHb2AHhoKmmcfMQvFLURsx3V4aZ93q1RNu3GGzQKhrSGX3-cBl3CDyhDgUHil-S2Mc6Rxq0tKuN68-J0U3uvrfqsdTittgHH8kVfsO9x0rMrUQ4F9voFX-IlmhmMXYsaqlHoztQc8XkyXZgYxPmYvI9zgVjD4ChXiSweBNFo_6CqR2GA
创建用户后即可登录
登录后即可实现对所有存储桶的接管
谈谈天翼云ZOS特点
各种定制化工具比较全,例如ZOSBrowser工具、zosutil、自动化策略工具等
可查看使用方便,安全性个人感觉不是很高
操作比较简单,web界面的操作以及设置很简单,对新手友好,但是要配置比较复杂的策略等的操作性不强。
防护重点
- 访问控制:天翼云zos提供了访问控制列表(ACL)和身份验证机制(如IAM),可帮助您控制访问您存储在对象存储中的数据的用户和角色。请确保为您的账户和子账户设置合适的权限,并且只向必要的用户和角色授权。
- 安全配置:配置上从安全角度出发,避免配置不当
- 密钥存储:AccessKey的存储安全要注意,避免泄露
