Metabadger：AWS 实例元数据服务安全强化工具

1. 项目介绍

Metabadger 是一个开源的 AWS 安全工具，用于发现和强化 AWS EC2 实例的元数据服务。该工具能够帮助用户识别当前的元数据服务使用情况，并将服务从版本 1 升级到更安全的版本 2，以防止 SSRF（服务器端请求伪造）攻击。

2. 项目快速启动

安装

通过 pip 安装：

pip3 install --user metabadger

通过 GitHub 安装：

git clone https://github.com/salesforce/metabadger.git
cd metabadger
pip install -e .

使用

• 发现元数据服务使用情况

  使用 discover-metadata 命令来发现 EC2 实例中元数据服务的使用概要。

  metabadger discover-metadata
  

• 发现 IAM 角色使用情况

  使用 discover-role-usage 命令来识别附加了 IAM 角色的实例。

  metabadger discover-role-usage
  

• 强化元数据服务

  使用 harden-metadata 命令来升级实例的元数据服务到版本 2。

  metabadger harden-metadata
  

• 禁用元数据服务

  使用 disable-metadata 命令来禁用不需要元数据服务的 EC2 实例上的该服务。

  metabadger disable-metadata
  

3. 应用案例和最佳实践

• 案例：假设您是一家使用 AWS EC2 实例的公司，您的实例使用 IAM 角色进行权限管理。您发现一些实例仍在使用元数据服务版本 1，这可能使您的实例容易受到 SSRF 攻击。

  最佳实践：使用 Metabadger 的 harden-metadata 命令将所有实例的元数据服务升级到版本 2，以确保更高的安全性。

• 案例：您的安全团队需要进行安全审计，以检查哪些实例可能存在安全风险。

  最佳实践：使用 Metabadger 的 discover-metadata 和 discover-role-usage 命令来收集实例的元数据服务使用情况和 IAM 角色使用情况，以便进行风险评估。

4. 典型生态项目

Metabadger 是 AWS 安全生态中的一个重要组成部分，它与其他 AWS 工具和服务协同工作，例如 AWS CloudWatch、AWS IAM 等，共同为用户提供一个安全的云计算环境。在 AWS 生态中，还有许多其他项目和服务，如 AWS Config、AWS Inspector 和 AWS Macie，它们可以与 Metabadger 配合使用，为用户提供全面的安全解决方案。