কীভাবে AWS ইসি 2 ইনস্ট্যান্স মেটাডেটা এপিআই তে ফায়ারওয়াল কলগুলি প্রতিরোধ করবেন?

ডেস্কটপ AWS EC2 ইন্সটান্স মেটাডেটা API দরকারী কার্যকারিতা অনেক প্রদান করে। প্রকৃত ইসি 2 উদাহরণে যে কেউ কল করতে পারে http://169.254.169.254/এবং যে কলটি করা হয়েছিল তার জন্য মেটাডেটা দেখতে পারে can এপিআই এর সুরক্ষা এমন যে এটি কেবলমাত্র কলটি উদাহরণ থেকে উত্স হয়েছে তা পরীক্ষা করে। অতএব, যদি আমি কাউকে আমার নজরে কোড চালানোর অনুমতি দিচ্ছি তবে আমি নিজের অ্যাক্সেস বজায় রেখে সেই নির্দিষ্ট ইউআরএলকে কীভাবে সেরা ব্লক করতে পারি তা জানতে চাই।

হাইলাইট হিসাবে, আমি অবাক হয়ে জানতে পারি যে মেটাডেটা এপিআইয়ের মাধ্যমেও অ্যাক্সেস করা যেতে পারে http://instance-data/(যা আমি কোথাও দুর্ঘটনার দ্বারা পেয়েছি)।

আমি এই দৃষ্টান্তে চলমান সমস্ত কোড দ্বারা কল করা url টি পরিদর্শন করতে সক্ষম হয়েছি, তবে আমি ধরে নিয়েছি যে এটি IPv6 ঠিকানাগুলি (সম্ভবত) দেওয়া, বা কিছু অদ্ভুত ইউআরআই এনকোডিং যা মেটাডেটা আইপি (169.254) এ সমাধান করবে তা ভাল ব্যবহার নয় ass .169.254), বা কিছু অননুমোদিত (মনে হয়) ইউআরএল পছন্দ করে http://instance-data/।

ফায়ারওয়াল বন্ধ।

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

এই নিয়মটি রুট ব্যবহারকারী ব্যতীত অন্য কোনও ব্যবহারকারীকে 169.254.169.254 এ সংযোগ খুলতে নিষেধ করে।