AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) word aangebied as 'n volledig bestuurde, skaalbare en elastiese netwerk lêerstelsel deur AWS. Die diens fasiliteer die skepping en konfigurasie van lêerstelsels wat gelyktydig deur verskeie EC2-instances en ander AWS-dienste benader kan word. Die sleutelkenmerke van EFS sluit in sy vermoë om outomaties te skaal sonder handmatige ingryping, lae-latensie toegang te voorsien, hoë-deurvoer werklas te ondersteun, data-duursaamheid te waarborg, en naatloos te integreer met verskeie AWS-sekuriteitsmeganismes.
Deur standaard sal die EFS-gids om te monteer / wees, maar dit kan 'n ander naam hê.
'n EFS word in 'n VPC geskep en sal standaard toeganklik wees in al die VPC-subnetwerke. egter, die EFS sal 'n Sekuriteitsgroep hê. Om toegang te gee aan 'n EC2 (of enige ander AWS-diens) om die EFS te monteer, is dit nodig om in die EFS-sekuriteitsgroep 'n inkomende NFS (poort 2049) reël van die EC2-sekuriteitsgroep toe te laat.
Sonder dit, sal jy nie in staat wees om die NFS-diens te kontak nie.
Vir meer inligting oor hoe om dit te doen, kyk: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Dit mag wees dat die EFS-mountpunt binne dieselfde VPC is, maar in 'n ander subnet. As jy seker wil wees dat jy al die EFS-punte vind, sal dit beter wees om die /16 netmask te skandeer.
Deur standaard sal enigeen met netwerktoegang tot die EFS in staat wees om dit te monteer, te lees en te skryf selfs as wortelgebruiker. egter, lêerstelselsbeleid kan in plek wees wat slegs beginsels met spesifieke toestemmings toelaat om toegang te verkry. Byvoorbeeld, hierdie lêerstelselsbeleid sal nie eens toelaat om die lêerstelsel te monteer as jy nie die IAM-toestemming het nie:
Of dit sal anonieme toegang voorkom:
Let daarop dat jy die tipe "efs" in die monteeropdrag MOET gebruik om lêerstelsels wat deur IAM beskerm word, te monteer:
Toegangspunte is aansoek-spesifieke toegangspunte tot 'n EFS-lêerstelsel wat dit makliker maak om aansoektoegang tot gedeelde datastelle te bestuur.
Wanneer jy 'n toegangspunt skep, kan jy die eienaar en POSIX-toestemmings vir die lêers en gidse wat deur die toegangspunt geskep word, spesifiseer. Jy kan ook 'n pasgemaakte wortelgidse vir die toegangspunt definieer, hetsy deur 'n bestaande gidse te spesifiseer of deur 'n nuwe een met die gewenste toestemmings te skep. Dit stel jou in staat om toegang tot jou EFS-lêerstelsel op 'n per-aansoek of per-gebruiker basis te beheer, wat dit makliker maak om jou gedeelde lêerdata te bestuur en te beveilig.
Jy kan die Lêerstelsel vanaf 'n toegangspunt monteer met iets soos:
Let daarop dat jy selfs om 'n toegangspunt te monteer, steeds moet kan kontak maak met die NFS-diens via netwerk, en as die EFS 'n lêerstelsel beleid het, het jy voldoende IAM-toestemmings nodig om dit te monteer.
Toegangspunte kan vir die volgende doeleindes gebruik word:
Vereenvoudig toestemming bestuur: Deur 'n POSIX-gebruiker en -groep vir elke toegangspunt te definieer, kan jy maklik toegangstoestemmings vir verskillende toepassings of gebruikers bestuur sonder om die onderliggende lêerstelsel se toestemmings te wysig.
Afgedwonge 'n worteldirectory: Toegangspunte kan toegang tot 'n spesifieke directory binne die EFS-lêerstelsel beperk, wat verseker dat elke toepassing of gebruiker binne sy aangewese gids werk. Dit help om toevallige data blootstelling of wysiging te voorkom.
Makliker lêerstelsel toegang: Toegangspunte kan geassosieer word met 'n AWS Lambda-funksie of 'n AWS Fargate-taak, wat lêerstelsel toegang vir serverless en gekonteiniseerde toepassings vereenvoudig.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
