AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) は、AWS によって 完全に管理された、スケーラブルで弾力性のあるネットワークファイルシステム として提供されています。このサービスは、複数の EC2 インスタンスや他の AWS サービスによって同時にアクセスできる ファイルシステム の作成と構成を容易にします。EFS の主な機能には、手動介入なしで自動的にスケールする能力、低遅延アクセスの提供、高スループットワークロードのサポート、データの耐久性の保証、さまざまな AWS セキュリティメカニズムとのシームレスな統合が含まれます。
デフォルトでは、マウントする EFS フォルダーは /
ですが、異なる名前を持つこともあります。
EFS は VPC 内に作成され、デフォルトではすべての VPC サブネットワークでアクセス可能です。ただし、EFS にはセキュリティグループがあります。EFS をマウントするために EC2(または他の AWS サービス)にアクセスを許可するには、EFS セキュリティグループで EC2 セキュリティグループからのインバウンド NFS**(ポート 2049)**ルールを 許可する必要があります。
これがないと、NFS サービスに接続できません。
これを行う方法の詳細については、次を確認してください: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
EFSマウントポイントが同じVPC内にあるが異なるサブネットにある可能性があります。すべてのEFSポイントを見つけるためには、/16
ネットマスクをスキャンする方が良いでしょう。
デフォルトでは、EFSへのネットワークアクセスを持つ誰でも、ルートユーザーとしてマウントし、読み書きすることができます。ただし、ファイルシステムポリシーが設定されている場合、特定の権限を持つプリンシパルのみがアクセスできることがあります。 例えば、このファイルシステムポリシーは、IAM権限を持っていない場合、ファイルシステムをマウントすることすら許可しません:
また、これは匿名アクセスを防ぎます:
IAMによって保護されたファイルシステムをマウントするには、マウントコマンドでタイプ「efs」を使用する必要があります:
アクセスポイントは、EFSファイルシステムへのアプリケーション特有のエントリーポイントであり、共有データセットへのアプリケーションアクセスを管理しやすくします。
アクセスポイントを作成する際には、アクセスポイントを通じて作成されるファイルやディレクトリの所有者とPOSIXパーミッションを指定できます。また、既存のディレクトリを指定するか、希望するパーミッションで新しいディレクトリを作成することで、アクセスポイントのカスタムルートディレクトリを定義することもできます。これにより、アプリケーションまたはユーザーごとにEFSファイルシステムへのアクセスを制御でき、共有ファイルデータの管理とセキュリティが容易になります。
アクセスポイントからファイルシステムをマウントするには、次のようにします:
注意してください。アクセスポイントをマウントしようとする場合でも、ネットワーク経由でNFSサービスに連絡できる必要があり、EFSにファイルシステムのポリシーがある場合は、マウントするための十分なIAM権限が必要です。
アクセスポイントは以下の目的で使用できます:
権限管理の簡素化:各アクセスポイントにPOSIXユーザーとグループを定義することで、基盤となるファイルシステムの権限を変更することなく、異なるアプリケーションやユーザーのアクセス権限を簡単に管理できます。
ルートディレクトリの強制:アクセスポイントはEFSファイルシステム内の特定のディレクトリへのアクセスを制限でき、各アプリケーションやユーザーが指定されたフォルダー内で操作することを保証します。これにより、偶発的なデータの露出や変更を防ぐことができます。
ファイルシステムアクセスの簡素化:アクセスポイントはAWS Lambda関数やAWS Fargateタスクに関連付けることができ、サーバーレスおよびコンテナ化されたアプリケーションのためのファイルシステムアクセスを簡素化します。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)