AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
O Amazon Elastic File System (EFS) é apresentado como um sistema de arquivos de rede totalmente gerenciado, escalável e elástico pela AWS. O serviço facilita a criação e configuração de sistemas de arquivos que podem ser acessados simultaneamente por várias instâncias EC2 e outros serviços da AWS. As principais características do EFS incluem sua capacidade de escalar automaticamente sem intervenção manual, provisionar acesso de baixa latência, suportar cargas de trabalho de alto rendimento, garantir a durabilidade dos dados e integrar-se perfeitamente com vários mecanismos de segurança da AWS.
Por padrão, a pasta do EFS a ser montada será /
, mas pode ter um nome diferente.
Um EFS é criado em uma VPC e seria por padrão acessível em todas as sub-redes da VPC. No entanto, o EFS terá um Grupo de Segurança. Para dar acesso a um EC2 (ou qualquer outro serviço da AWS) para montar o EFS, é necessário permitir no grupo de segurança do EFS uma regra de entrada NFS (porta 2049) do Grupo de Segurança do EC2.
Sem isso, você não poderá contatar o serviço NFS.
Para mais informações sobre como fazer isso, consulte: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Pode ser que o ponto de montagem do EFS esteja dentro da mesma VPC, mas em uma sub-rede diferente. Se você quiser ter certeza de que encontrará todos os pontos EFS, seria melhor escanear a máscara de rede /16
.
Por padrão, qualquer pessoa com acesso à rede ao EFS poderá montar, ler e escrever nele, mesmo como usuário root. No entanto, políticas de Sistema de Arquivos podem estar em vigor permitindo apenas que principais com permissões específicas acessem. Por exemplo, esta política de Sistema de Arquivos não permitirá nem mesmo montar o sistema de arquivos se você não tiver a permissão IAM:
Ou isso impedirá o acesso anônimo:
Observe que para montar sistemas de arquivos protegidos por IAM, você DEVE usar o tipo "efs" no comando de montagem:
Os pontos de acesso são pontos de entrada específicos de aplicação em um sistema de arquivos EFS que facilitam o gerenciamento do acesso da aplicação a conjuntos de dados compartilhados.
Quando você cria um ponto de acesso, pode especificar o proprietário e as permissões POSIX para os arquivos e diretórios criados através do ponto de acesso. Você também pode definir um diretório raiz personalizado para o ponto de acesso, seja especificando um diretório existente ou criando um novo com as permissões desejadas. Isso permite que você controle o acesso ao seu sistema de arquivos EFS com base em cada aplicação ou usuário, facilitando o gerenciamento e a segurança dos seus dados de arquivo compartilhados.
Você pode montar o sistema de arquivos a partir de um ponto de acesso com algo como:
Observe que mesmo tentando montar um ponto de acesso, você ainda precisa ser capaz de contatar o serviço NFS via rede, e se o EFS tiver uma política de sistema de arquivos, você precisa de permissões IAM suficientes para montá-lo.
Os pontos de acesso podem ser usados para os seguintes propósitos:
Simplificar a gestão de permissões: Ao definir um usuário e grupo POSIX para cada ponto de acesso, você pode gerenciar facilmente as permissões de acesso para diferentes aplicações ou usuários sem modificar as permissões do sistema de arquivos subjacente.
Impor um diretório raiz: Os pontos de acesso podem restringir o acesso a um diretório específico dentro do sistema de arquivos EFS, garantindo que cada aplicação ou usuário opere dentro de sua pasta designada. Isso ajuda a prevenir a exposição acidental de dados ou modificação.
Acesso mais fácil ao sistema de arquivos: Os pontos de acesso podem ser associados a uma função AWS Lambda ou a uma tarefa AWS Fargate, simplificando o acesso ao sistema de arquivos para aplicações sem servidor e containerizadas.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)