Supporto IMDSv2

chocecil · 21 Luglio 2023, 9:50am

Scrivo per chiedere informazioni sul supporto di IMDSv2 tramite profili di istanza in Discourse. Stiamo migrando il nostro servizio per utilizzare IMDSv2, poiché IMDSv1 non è un’opzione sicura.

Vorremmo capire se Discourse supporta attualmente IMDSv2 tramite profili di istanza e, in caso contrario, quali sono i piani per supportarlo nel prossimo futuro. Inoltre, esistono soluzioni alternative o patch disponibili che ci consentirebbero di utilizzare IMDSv2 con Discourse?

È importante per noi garantire che i nostri requisiti di sicurezza siano soddisfatti e riteniamo che l’utilizzo di credenziali temporanee tramite IMDSv2 sia un aspetto critico di tale garanzia.

Il comportamento desiderato per l’accesso alle credenziali di sicurezza fornite tramite il profilo di istanza è

Un’applicazione sull’istanza recupera le credenziali di sicurezza fornite dal ruolo dall’elemento di metadati dell’istanza iam/security-credentials/ nome-ruolo.
L’applicazione ottiene le autorizzazioni per le azioni e le risorse che abbiamo definito per il ruolo tramite le credenziali di sicurezza associate al ruolo. Queste credenziali di sicurezza sono temporanee e vengono ruotate automaticamente. Rendiamo disponibili nuove credenziali almeno cinque minuti prima della scadenza di quelle vecchie.

Abbiamo notato che ci sono differenze tra le chiamate IMDSv1 e IMDSv2.

Chiamata IMDSv1:

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

Mentre la chiamata IMDSv2 richiede l’uso di un token di metadati e può essere effettuata utilizzando i seguenti comandi:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \\\\\\\\\\\\\\\\\
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

Apprezzeremmo qualsiasi informazione che possiate fornire su come possiamo utilizzare IMDSv2 con Discourse, o se esistono soluzioni alternative o patch disponibili.

Riferimento:

Migrazione IMDSv2: Transition to using Instance Metadata Service Version 2 - Amazon Elastic Compute Cloud

pfaffman · 21 Luglio 2023, 7:01pm

Non sono a conoscenza di alcun modo in cui Discourse stesso utilizzi IMDS. Hai installato Discourse su AWS in qualche modo? Stai in qualche modo utilizzando IMDSv1 con Discourse già?

Qual è il tuo caso d’uso?

chocecil · 21 Luglio 2023, 7:47pm

Ho trovato un codice correlato.

github.com/discourse/discourse

spec/lib/s3_helper_spec.rb

v3.1.0.beta5


      
                </Rule>
              </LifecycleConfiguration>
            XML
          end
          
          it "can correctly set the purge policy" do
            SiteSetting.s3_configure_tombstone_policy = true
          
            stub_request(
              :get,
              "http://169.254.169.254/latest/meta-data/iam/security-credentials/",
            ).to_return(status: 404, body: "", headers: {})
          
            stub_request(
              :get,
              "https://bob.s3.#{SiteSetting.s3_region}.amazonaws.com/?lifecycle",
            ).to_return(status: 200, body: @lifecycle, headers: {})
          
            stub_request(:put, "https://bob.s3.#{SiteSetting.s3_region}.amazonaws.com/?lifecycle")
              .with do |req|
                hash = Hash.from_xml(req.body.to_s)

supermathie · 25 Luglio 2023, 7:32pm

Questo è nella specifica di test.

Discourse utilizza una versione dell’SDK AWS (3.130.2) superiore al minimo richiesto per supportare IMDSv2 e, da quanto ho potuto capire esaminando la metrica MetadataNoToken nelle nostre implementazioni AWS, non effettuiamo chiamate a IMDSv1.

Per quanto ne so, stiamo già utilizzando IMDSv2 ovunque.

Hans_Homan · 10 Luglio 2024, 7:30am

Abbiamo iniziato a usare Discourse su un’istanza AWS EC2 un anno fa. E questa settimana abbiamo aggiornato la nostra istanza per utilizzare solo IMDSv2, questo ha interrotto i nostri caricamenti AWS S3 con il messaggio di errore “impossibile firmare la richiesta senza credenziali impostate”. Utilizziamo anche l’impostazione “s3 use iam profile”.

Il servizio IMDS locale viene utilizzato da Discourse per ottenere le credenziali per effettuare altre chiamate API di servizi correlati ad AWS. Questo viene fatto utilizzando Ruby aws-sdk-s3

github.com/discourse/discourse

Gemfile.lock

c9775d5f7


      
          aws-eventstream (1.3.0)
          aws-partitions (1.894.0)
          aws-sdk-core (3.191.3)
            aws-eventstream (~> 1, >= 1.3.0)
            aws-partitions (~> 1, >= 1.651.0)
            aws-sigv4 (~> 1.8)
            jmespath (~> 1, >= 1.6.1)
          aws-sdk-kms (1.77.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sigv4 (~> 1.1)
          aws-sdk-s3 (1.143.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sdk-kms (~> 1)
            aws-sigv4 (~> 1.8)
          aws-sdk-sns (1.72.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sigv4 (~> 1.1)
          aws-sigv4 (1.8.0)
            aws-eventstream (~> 1, >= 1.0.2)
          base64 (0.2.0)
          better_errors (2.10.1)

nskerl · 8 Agosto 2024, 5:36pm

Stiamo riscontrando anche questo problema di backup dopo aver disabilitato IMDSv1 per motivi di sicurezza.

Possiamo vedere l’uso di IMDSv1 (in 3.3.0.beta1-dev) tramite la metrica MetadataNoToken, quindi ci stiamo chiedendo quale versione di Discourse sia passata a usare la v2 ovunque?

mentalstring · 23 Novembre 2024, 7:25pm

Anche noi siamo stati colpiti da questo oggi, una volta che abbiamo modificato la nostra istanza AWS per utilizzare solo IMDSv2: i nostri utenti non potevano più caricare immagini su S3.

Probabilmente rilevante qui: stiamo anche utilizzando l’opzione s3 use iam profile.

Per ora lo abbiamo modificato in “Opzionale”, il che significa fondamentalmente che IMDSv1 è ancora abilitato, il che non è il massimo in termini di sicurezza, ma ha fatto funzionare nuovamente i caricamenti.

marco.palumbo · 5 Novembre 2025, 3:05pm

Qualcuno ha una soluzione/soluzione alternativa per far funzionare Discourse con IMDSv2?

supermathie · 13 Novembre 2025, 11:56pm

Stiamo apportando modifiche per consentire/aspettarci che sia possibile una maggiore configurazione tramite il file .aws/config, che potrebbe sovrapporsi a questo e renderlo possibile.

marco.palumbo · 17 Novembre 2025, 4:20pm

@supermathie la cosa più strana che non riesco a capire è che ho configurato personalmente 2 istanze di discourse (dev/prod) che sono configurate in modo identico (upload s3 per file e backup tramite profilo IAM) e aggiornate a una versione identica (9436f5e3d4) e quando ho disabilitato IMDSv1… in dev tutto ha continuato a funzionare come previsto, mentre in prod non funziona e continua a restituire qualcosa come “impossibile firmare la richiesta senza credenziali impostate”… piuttosto sconcertante.

Se hai qualche idea su test/controlli che potrei fare, fammelo sapere.

supermathie · 17 Novembre 2025, 4:45pm

@ducks ha identificato che i timeout nell’SDK per l’acquisizione delle credenziali IMDS sono molto aggressivi (1 secondo, nessun tentativo) quindi è possibile che stia raggiungendo quel timeout.

Ma questa è solo un’ipotesi.

Se ti connetti in console a prod, puoi farlo in modo interattivo, ad esempio:

discourse(prod)> c = Aws::S3::Client.new(region: ENV['DISCOURSE_S3_REGION'])
=> #<Aws::S3::Client>

discourse(prod)> c.list_objects_v2(bucket: ENV['DISCOURSE_S3_BUCKET']).contents.count
=> 1000

marco.palumbo · 24 Novembre 2025, 4:01pm

Ho capito qual era il problema e devo solo incolpare me stesso, ma il problema era piuttosto sottile.
Il problema era con “HttpPutResponseHopLimit” impostato a 1 che non permetteva di chiamare IMDSv2 dall’interno del container

Emettendo questo comando ho ottenuto questa risposta:

> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
"State": "applied",
"HttpTokens": "optional",
"HttpPutResponseHopLimit": 1,
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "disabled",
"InstanceMetadataTags": "disabled"
}

Regolando l’impostazione l’output corretto è

> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
"State": "applied",
"HttpTokens": "required",
"HttpPutResponseHopLimit": 2,
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "disabled",
"InstanceMetadataTags": "disabled"
}

…e finalmente il mistero è risolto

Grazie a tutti per il vostro aiuto

supermathie · 24 Novembre 2025, 5:25pm

È fantastico saperlo!

E spero che questo si applichi anche ad altri.

Ma mi chiedo perché questo non sia un problema per noi. L’abbiamo impostato su 1 eppure funziona?

discourse(prod) > ENV['AWS_EC2_METADATA_V1_DISABLED'] = 'true'
=> "true"
discourse(prod) > c = Aws::S3::Client.new(region: ENV['DISCOURSE_S3_REGION'])
=> #<Aws::S3::Client:0x00007f9d8c0a4b00>
discourse(prod) > c.config.credentials.disable_imds_v1
=> true
discourse(prod) > c.list_objects_v2(bucket: ENV['DISCOURSE_S3_BUCKET']).contents.count
=> 1000

e quell’istanza ha questi metadati secondo lo stesso comando di query:

{
    "State": "applied",
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    "HttpEndpoint": "enabled",
    "HttpProtocolIpv6": "disabled",
    "InstanceMetadataTags": "disabled"
}

Stiamo eseguendo Discourse in un container Docker su EC2, come altri, quindi… qual è la differenza?

pfaffman · 25 Novembre 2025, 2:00pm

Questo argomento è stato chiuso automaticamente dopo 21 ore. Non sono più consentite nuove risposte.

Argomento		Risposte	Visualizzazioni
Backups to S3 fail when IMDSv1 disabled Bug backups , s3	0	63	Agosto 29, 2024
How are you authenticating Discourse to AWS? Help us improve the settings! Feature s3	3	60	Ottobre 9, 2025
Set up file and image uploads to S3 Self-Hosting configuring , how-to	35	119218	Ottobre 25, 2025
Problems with Patreon Login, Force HTTPS, and S3 CDN (three) Issues Installation unsupported-install	12	1987	Gennaio 6, 2023
Discourse instance unreachable on AWS Support	29	3961	Aprile 30, 2019

Supporto IMDSv2

Argomenti correlati