Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) jest przedstawiany jako w pełni zarządzany, skalowalny i elastyczny system plików w sieci przez AWS. Usługa ułatwia tworzenie i konfigurowanie systemów plików, które mogą być jednocześnie dostępne przez wiele instancji EC2 i inne usługi AWS. Kluczowe cechy EFS obejmują jego zdolność do automatycznego skalowania bez interwencji ręcznej, zapewnianie dostępu o niskim opóźnieniu, wsparcie dla obciążeń o wysokiej przepustowości, gwarancję trwałości danych oraz bezproblemową integrację z różnymi mechanizmami bezpieczeństwa AWS.
Domyślnie folder EFS do zamontowania będzie /, ale może mieć inną nazwę.
EFS jest tworzony w VPC i będzie domyślnie dostępny we wszystkich podsieciach VPC. Jednak EFS będzie miał Grupę Bezpieczeństwa. Aby dać dostęp do EC2 (lub jakiejkolwiek innej usługi AWS) do zamontowania EFS, należy zezwolić w grupie bezpieczeństwa EFS na regułę przychodzącą NFS (port 2049) z Grupy Bezpieczeństwa EC2.
Bez tego nie będziesz w stanie skontaktować się z usługą NFS.
Aby uzyskać więcej informacji na ten temat, sprawdź: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Może się zdarzyć, że punkt montowania EFS znajduje się w tej samej VPC, ale w innej podsieci. Jeśli chcesz mieć pewność, że znajdziesz wszystkie punkty EFS, lepiej zeskanować maskę sieciową /16.
Domyślnie każdy, kto ma dostęp do sieci EFS, będzie mógł zamontować, odczytać i zapisać go nawet jako użytkownik root. Jednak polityki systemu plików mogą być wprowadzone, zezwalając tylko na dostęp dla podmiotów z określonymi uprawnieniami. Na przykład, ta polityka systemu plików nie pozwoli nawet na zamontowanie systemu plików, jeśli nie masz uprawnienia IAM:
Lub to zapobiegnie dostępowi anonimowemu:
Zauważ, że aby zamontować systemy plików chronione przez IAM, MUSISZ użyć typu "efs" w poleceniu montowania:
Punkty dostępu to specyficzne dla aplikacji punkty wejścia do systemu plików EFS, które ułatwiają zarządzanie dostępem aplikacji do wspólnych zbiorów danych.
Kiedy tworzysz punkt dostępu, możesz określić właściciela i uprawnienia POSIX dla plików i katalogów tworzonych przez punkt dostępu. Możesz również zdefiniować niestandardowy katalog główny dla punktu dostępu, albo poprzez określenie istniejącego katalogu, albo poprzez utworzenie nowego z pożądanymi uprawnieniami. Umożliwia to kontrolowanie dostępu do systemu plików EFS na poziomie aplikacji lub użytkownika, co ułatwia zarządzanie i zabezpieczanie wspólnych danych plikowych.
Możesz zamontować system plików z punktu dostępu za pomocą czegoś takiego jak:
Zauważ, że nawet próbując zamontować punkt dostępu, nadal musisz być w stanie skontaktować się z usługą NFS przez sieć, a jeśli EFS ma politykę systemu plików, potrzebujesz wystarczających uprawnień IAM, aby go zamontować.
Punkty dostępu mogą być używane do następujących celów:
Uproszczenie zarządzania uprawnieniami: Definiując użytkownika i grupę POSIX dla każdego punktu dostępu, możesz łatwo zarządzać uprawnieniami dostępu dla różnych aplikacji lub użytkowników bez modyfikowania uprawnień systemu plików.
Wymuszenie katalogu głównego: Punkty dostępu mogą ograniczać dostęp do konkretnego katalogu w systemie plików EFS, zapewniając, że każda aplikacja lub użytkownik działa w swoim wyznaczonym folderze. Pomaga to zapobiegać przypadkowemu ujawnieniu lub modyfikacji danych.
Łatwiejszy dostęp do systemu plików: Punkty dostępu mogą być powiązane z funkcją AWS Lambda lub zadaniem AWS Fargate, co upraszcza dostęp do systemu plików dla aplikacji bezserwerowych i konteneryzowanych.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
