ตัวอย่างพร็อกซีเมตาดาต้า AWS เพื่อป้องกันการโจมตีเวกเตอร์ที่กำหนดเป้าหมายไปยังข้อมูลรับรอง AWS
โคลน repo
git clone https://github.com/Netflix-Skunkworks/aws-metadata-proxy.git
cd aws-metadata-proxy
สร้างพร็อกซี
go get
go build สร้างกฎ iptable ที่ป้องกันการพูดคุยโดยตรงกับบริการ AWS Metadata ยกเว้น ผู้ใช้เฉพาะ proxy_user ในตัวอย่างด้านล่าง นี่คือผู้ใช้ที่คุณเรียกใช้พร็อกซีเช่นเดียวกับเซิร์ฟเวอร์ของคุณ
/sbin/iptables -t nat -A OUTPUT -m owner ! --uid-owner proxy_user -d 169.254.169.254 -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:9090
