示例AWS元數據代理,以防止攻擊向量針對AWS憑證
克隆倉庫
git clone https://github.com/Netflix-Skunkworks/aws-metadata-proxy.git
cd aws-metadata-proxy
構建代理
go get
go build 創建一個iptable規則,該規則可防止直接與AWS元數據服務對話,除了特定用戶, proxy_user在下面的示例中。這是您按照服務器上運行代理的用戶。
/sbin/iptables -t nat -A OUTPUT -m owner ! --uid-owner proxy_user -d 169.254.169.254 -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:9090
