AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) se predstavlja kao potpuno upravljani, skalabilni i elastični mrežni sistem za datoteke od strane AWS-a. Usluga olakšava kreiranje i konfiguraciju sistema za datoteke koji mogu biti istovremeno dostupni više EC2 instanci i drugim AWS uslugama. Ključne karakteristike EFS-a uključuju njegovu sposobnost da se automatski skalira bez manuelne intervencije, obezbedi pristup sa niskom latencijom, podrži visoko-protokolne radne opterećenja, garantuje trajnost podataka i besprekorno se integriše sa raznim AWS bezbednosnim mehanizmima.
Po default-u, EFS folder za montiranje će biti / ali može imati drugo ime.
EFS se kreira u VPC-u i biće po default-u dostupan u svim VPC podmrežama. Međutim, EFS će imati Grupu bezbednosti. Da bi se omogućio pristup EC2 (ili bilo kojoj drugoj AWS usluzi) za montiranje EFS-a, potrebno je dozvoliti u EFS grupi bezbednosti ulazno NFS (port 2049) pravilo iz EC2 Grupe bezbednosti.
Bez ovoga, nećete moći da kontaktirate NFS uslugu.
Za više informacija o tome kako to uraditi, pogledajte: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Može se desiti da je EFS tačka montiranja unutar iste VPC, ali u različitom podmreži. Ako želite da budete sigurni da ste pronašli sve EFS tačke, bilo bi bolje skenirati /16 netmask.
Po definiciji, svako ko ima mrežni pristup EFS-u moći će da montira, čita i piše čak i kao root korisnik. Međutim, politike datotečnog sistema mogu biti postavljene samo za omogućavanje pristupa principima sa specifičnim dozvolama. Na primer, ova politika datotečnog sistema neće dozvoliti čak ni montiranje datotečnog sistema ako nemate IAM dozvolu:
Ili će ovo sprečiti anonimni pristup:
Napomena: da biste montirali datotečne sisteme zaštićene IAM-om, MORATE koristiti tip "efs" u komandi za montiranje:
Access points su specifični ulazi u EFS datotečni sistem koji olakšavaju upravljanje pristupom aplikacija deljenim skupovima podataka.
Kada kreirate access point, možete odrediti vlasnika i POSIX dozvole za datoteke i direktorijume kreirane putem access point-a. Takođe možete definisati prilagođeni korenski direktorijum za access point, bilo tako što ćete odrediti postojeći direktorijum ili kreirati novi sa željenim dozvolama. Ovo vam omogućava da kontrolišete pristup vašem EFS datotečnom sistemu po aplikaciji ili po korisniku, što olakšava upravljanje i obezbeđivanje vaših deljenih datoteka.
Možete montirati datotečni sistem sa access point-a sa nečim poput:
Napomena: Čak i kada pokušavate da montirate pristupnu tačku, još uvek morate biti u mogućnosti da kontaktirate NFS servis putem mreže, a ako EFS ima politiku datotečnog sistema, potrebne su vam dovoljne IAM dozvole da ga montirate.
Pristupne tačke mogu se koristiti u sledeće svrhe:
Pojednostavljenje upravljanja dozvolama: Definisanjem POSIX korisnika i grupe za svaku pristupnu tačku, možete lako upravljati dozvolama pristupa za različite aplikacije ili korisnike bez modifikovanja dozvola osnovnog datotečnog sistema.
Sprovođenje korenskog direktorijuma: Pristupne tačke mogu ograničiti pristup određenom direktorijumu unutar EFS datotečnog sistema, osiguravajući da svaka aplikacija ili korisnik radi unutar svog dodeljenog foldera. Ovo pomaže u sprečavanju slučajnog izlaganja ili modifikacije podataka.
Lakši pristup datotečnom sistemu: Pristupne tačke mogu biti povezane sa AWS Lambda funkcijom ili AWS Fargate zadatkom, pojednostavljujući pristup datotečnom sistemu za serverless i kontejnerizovane aplikacije.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
