在进行 AWS 资源的整改过程中,我们还需要对安全组策略进行检查和限制,确保高危端口不被公开访问。本文将介绍如何使用 Python 脚本来完成这项工作。
检查安全组策略
我们编写了一个 Python 脚本,用于检查 AWS 安全组中是否存在允许从 0.0.0.0/0
或 ::/0
访问特定端口的规则:
import boto3
import json
def check_security_group(port):
ec2 = boto3.client('ec2')
response = ec2.describe_security_groups()
for group in response['SecurityGroups']:
for permission in group['IpPermissions']:
try:
ret =json.dumps(permission.get('IpRanges')) if len(permission.get('IpRanges')) >=1 else ""
except Exception as e:
ret=[]
if permission.get('FromPort') == port and (ret.__contains__('0