Amazon-S3

當 root 使用者可以訪問 S3 儲存桶時,我可以模擬它嗎?

  • February 3, 2016

我正在嘗試為在 Debian 設備上執行的應用程序測試新的網路監控程式碼。我目前的任務是確保在使用 FUSE 安裝外部網路共享(例如 S3 儲存桶)並且連接斷開時引發 SNMP 陷阱。

問題是,為了使共享不可訪問,我顯然必須使文件不可寫(或使用 iptables 阻止所有可能與 S3 相關的 IP),並且如果儲存桶是要讀取和寫入的,我無法阻止寫入訪問root 使用者,由 root 使用者監控。

有沒有辦法讓這個程序以root身份執行,認為桶壞了?

PS我不能使用chattr製作這些桶,因為,afaik,S3不支持屬性的概念,如不變性。

有很多方法可以模擬發生故障的事情。您已經說過一個使用 iptables 塊規則的方法。

另一種非常簡單的方法 - 拔下網路路由器,以便您的監控軟體仍然可以看到主機,但主機無法與 S3(或其他任何事情)對話。對我來說,這是最簡單的,但在某些情況下可能不合適。

另一種選擇是編輯伺服器上的主機文件,並為 S3 主機名添加一些虛擬 IP,以便它們解析到錯誤的位置。即使用未分配給任何東西的IP。因此,來自主機的所有 S3 請求都將嘗試去那裡,但無法去那裡。完成後,只需從主機文件中刪除 IP,一切都會恢復生機而無需重新啟動。

引用自:https://serverfault.com/questions/753811