AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS)는 AWS에 의해 완전 관리형, 확장 가능 및 탄력적인 네트워크 파일 시스템으로 제공됩니다. 이 서비스는 여러 EC2 인스턴스 및 기타 AWS 서비스가 동시에 접근할 수 있는 파일 시스템의 생성 및 구성을 용이하게 합니다. EFS의 주요 기능에는 수동 개입 없이 자동으로 확장할 수 있는 능력, 저지연 접근 제공, 고처리량 작업 부하 지원, 데이터 내구성 보장, 다양한 AWS 보안 메커니즘과의 원활한 통합이 포함됩니다.
기본적으로, 마운트할 EFS 폴더는 **/
**이지만 다른 이름을 가질 수 있습니다.
EFS는 VPC에서 생성되며 기본적으로 모든 VPC 서브네트워크에서 접근 가능합니다. 그러나 EFS는 보안 그룹을 가집니다. EFS를 마운트하기 위해 EC2(또는 다른 AWS 서비스)에 접근을 허용하려면, EFS 보안 그룹에서 EC2 보안 그룹으로부터의 인바운드 NFS(2049 포트) 규칙을 허용해야 합니다.
이 없이는 NFS 서비스에 연락할 수 없습니다.
이 작업을 수행하는 방법에 대한 자세한 정보는 다음을 확인하세요: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
EFS 마운트 포인트가 같은 VPC 내에 있지만 다른 서브넷에 있을 수 있습니다. 모든 EFS 포인트를 찾고 싶다면 /16
넷마스크를 스캔하는 것이 좋습니다.
기본적으로 EFS에 대한 네트워크 접근 권한이 있는 누구나 루트 사용자로서도 마운트하고, 읽고 쓸 수 있습니다. 그러나 파일 시스템 정책이 설정되어 특정 권한을 가진 주체만 접근할 수 있도록 할 수 있습니다. 예를 들어, 이 파일 시스템 정책은 IAM 권한이 없으면 파일 시스템을 마운트하는 것도 허용하지 않습니다:
또한 이는 익명 접근을 방지합니다:
IAM으로 보호된 파일 시스템을 마운트하려면 마운트 명령에서 반드시 "efs" 유형을 사용해야 합니다:
액세스 포인트는 EFS 파일 시스템에 대한 애플리케이션-특정 진입점으로, 애플리케이션이 공유 데이터 세트에 접근하는 것을 더 쉽게 관리할 수 있게 해줍니다.
액세스 포인트를 생성할 때, 액세스 포인트를 통해 생성된 파일 및 디렉토리에 대한 소유자 및 POSIX 권한을 지정할 수 있습니다. 또한, 기존 디렉토리를 지정하거나 원하는 권한으로 새 디렉토리를 생성하여 액세스 포인트에 대한 사용자 정의 루트 디렉토리를 정의할 수 있습니다. 이를 통해 애플리케이션 또는 사용자별로 EFS 파일 시스템에 대한 접근을 제어할 수 있어, 공유 파일 데이터를 더 쉽게 관리하고 보호할 수 있습니다.
액세스 포인트에서 파일 시스템을 다음과 같이 마운트할 수 있습니다:
네트워크를 통해 NFS 서비스에 연락할 수 있어야 하며, EFS에 파일 시스템 정책이 있는 경우, 이를 마운트하기 위해 충분한 IAM 권한이 필요합니다.
액세스 포인트는 다음과 같은 목적으로 사용될 수 있습니다:
권한 관리 단순화: 각 액세스 포인트에 대해 POSIX 사용자 및 그룹을 정의함으로써, 기본 파일 시스템의 권한을 수정하지 않고도 다양한 애플리케이션이나 사용자에 대한 접근 권한을 쉽게 관리할 수 있습니다.
루트 디렉토리 강제화: 액세스 포인트는 EFS 파일 시스템 내의 특정 디렉토리에 대한 접근을 제한할 수 있어, 각 애플리케이션이나 사용자가 지정된 폴더 내에서 작업하도록 보장합니다. 이는 우발적인 데이터 노출이나 수정을 방지하는 데 도움이 됩니다.
파일 시스템 접근 용이성: 액세스 포인트는 AWS Lambda 함수나 AWS Fargate 작업과 연결될 수 있어, 서버리스 및 컨테이너화된 애플리케이션에 대한 파일 시스템 접근을 단순화합니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)