AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) è presentato come un sistema di file di rete completamente gestito, scalabile ed elastico da AWS. Il servizio facilita la creazione e la configurazione di sistemi di file che possono essere accessibili contemporaneamente da più istanze EC2 e altri servizi AWS. Le caratteristiche principali di EFS includono la sua capacità di scalare automaticamente senza intervento manuale, fornire accesso a bassa latenza, supportare carichi di lavoro ad alta capacità, garantire la durabilità dei dati e integrarsi senza problemi con vari meccanismi di sicurezza AWS.
Per definizione, la cartella EFS da montare sarà /
ma potrebbe avere un nome diverso.
Un EFS è creato in una VPC e sarebbe per impostazione predefinita accessibile in tutte le sottoreti VPC. Tuttavia, l'EFS avrà un Gruppo di Sicurezza. Per dare accesso a un EC2 (o a qualsiasi altro servizio AWS) per montare l'EFS, è necessario consentire nel gruppo di sicurezza EFS una regola NFS in entrata (porta 2049) dal Gruppo di Sicurezza EC2.
Senza questo, non sarai in grado di contattare il servizio NFS.
Per ulteriori informazioni su come fare questo, controlla: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Potrebbe essere che il punto di montaggio EFS si trovi all'interno della stessa VPC ma in una subnet diversa. Se vuoi essere sicuro di trovare tutti i punti EFS sarebbe meglio scansionare la netmask /16
.
Per definizione chiunque abbia accesso alla rete all'EFS sarà in grado di montarlo, leggerlo e scriverlo anche come utente root. Tuttavia, potrebbero essere in vigore politiche del File System che consentono solo ai principi con permessi specifici di accedervi. Ad esempio, questa politica del File System non consentirà nemmeno di montare il file system se non hai il permesso IAM:
O questo prevenirà l'accesso anonimo:
Nota che per montare i file system protetti da IAM DEVI usare il tipo "efs" nel comando di montaggio:
I punti di accesso sono punti di accesso specifici per l'applicazione in un file system EFS che rendono più facile gestire l'accesso dell'applicazione a set di dati condivisi.
Quando crei un punto di accesso, puoi specificare il proprietario e i permessi POSIX per i file e le directory creati tramite il punto di accesso. Puoi anche definire una directory radice personalizzata per il punto di accesso, specificando una directory esistente o creando una nuova con i permessi desiderati. Questo ti consente di controllare l'accesso al tuo file system EFS su base per applicazione o per utente, rendendo più facile gestire e proteggere i tuoi dati file condivisi.
Puoi montare il file system da un punto di accesso con qualcosa come:
Nota che anche cercando di montare un access point devi comunque essere in grado di contattare il servizio NFS tramite rete, e se l'EFS ha una policy del file system, hai bisogno di sufficienti permessi IAM per montarlo.
I punti di accesso possono essere utilizzati per i seguenti scopi:
Semplificare la gestione dei permessi: Definendo un utente e un gruppo POSIX per ogni punto di accesso, puoi gestire facilmente i permessi di accesso per diverse applicazioni o utenti senza modificare i permessi del file system sottostante.
Imporre una directory radice: I punti di accesso possono limitare l'accesso a una directory specifica all'interno del file system EFS, garantendo che ogni applicazione o utente operi all'interno della propria cartella designata. Questo aiuta a prevenire esposizioni accidentali o modifiche ai dati.
Accesso più semplice al file system: I punti di accesso possono essere associati a una funzione AWS Lambda o a un'attività AWS Fargate, semplificando l'accesso al file system per applicazioni serverless e containerizzate.
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)