Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) inawasilishwa kama sistema ya faili ya mtandao inayosimamiwa kikamilifu, inayoweza kupanuka, na elastiki na AWS. Huduma hii inarahisisha uundaji na usanidi wa sistimu za faili ambazo zinaweza kufikiwa kwa wakati mmoja na EC2 nyingi na huduma nyingine za AWS. Vipengele muhimu vya EFS ni pamoja na uwezo wake wa kupanuka kiotomatiki bila kuingilia kati kwa mikono, kutoa ufikiaji wa latency ya chini, kusaidia mzigo wa kazi zenye kupitia nyingi, kuhakikisha kudumu kwa data, na kuunganishwa kwa urahisi na mitambo mbalimbali ya usalama ya AWS.
Kwa kawaida, folda ya EFS ya kuunganisha itakuwa / lakini inaweza kuwa na jina tofauti.
EFS inaundwa katika VPC na itakuwa kwa kawaida inapatikana katika mitandao yote ya VPC. Hata hivyo, EFS itakuwa na Kundi la Usalama. Ili kutoa ufikiaji kwa EC2 (au huduma nyingine yoyote ya AWS) kuunganisha EFS, inahitajika kuruhusu katika kundi la usalama la EFS sheria ya NFS ya kuingia (bandari 2049) kutoka kwa Kundi la Usalama la EC2.
Bila hii, hu wezi kuwasiliana na huduma ya NFS.
Kwa maelezo zaidi kuhusu jinsi ya kufanya hivi angalia: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Inaweza kuwa kwamba EFS mount point iko ndani ya VPC hiyo hiyo lakini katika subnet tofauti. Ikiwa unataka kuwa na uhakika kwamba unapata EFS points zote itakuwa bora skana /16 netmask.
Kwa kawaida, mtu yeyote mwenye ufikiaji wa mtandao kwa EFS ataweza kuunganisha, kusoma na kuandika hata kama mtumiaji wa root. Hata hivyo, sera za Mfumo wa Faili zinaweza kuwepo zinazoruhusu tu wakuu wenye ruhusa maalum kuweza kuzipata. Kwa mfano, sera hii ya Mfumo wa Faili haitaruhusu hata kuunganisha mfumo wa faili ikiwa huna ruhusa ya IAM:
Au hii itazuia ufikiaji wa siri:
Kumbuka kwamba ili kuunganisha mifumo ya faili iliyolindwa na IAM LAZIMA utumie aina "efs" katika amri ya kuunganisha:
Access points ni vituo maalum vya programu katika mfumo wa faili wa EFS vinavyorahisisha usimamizi wa ufikiaji wa programu kwa seti za data zinazoshirikiwa.
Unapounda kituo cha ufikiaji, unaweza kueleza mmiliki na ruhusa za POSIX kwa faili na saraka zinazoundwa kupitia kituo cha ufikiaji. Pia unaweza kufafanua saraka ya mizizi ya kawaida kwa kituo cha ufikiaji, ama kwa kueleza saraka iliyopo au kwa kuunda mpya yenye ruhusa zinazohitajika. Hii inakuwezesha kudhibiti ufikiaji wa mfumo wako wa faili wa EFS kwa msingi wa programu au mtumiaji, na kuifanya iwe rahisi kusimamia na kulinda data zako za faili zinazoshirikiwa.
You can mount the File System from an access point with something like:
Kumbuka kwamba hata kujaribu kuunganisha na kituo cha ufikiaji bado unahitaji kuwa na uwezo wa kuwasiliana na huduma ya NFS kupitia mtandao, na ikiwa EFS ina sera ya mfumo wa faili, unahitaji idhini za kutosha za IAM ili kuunganisha.
Vituo vya ufikiaji vinaweza kutumika kwa madhumuni yafuatayo:
Rahisisha usimamizi wa ruhusa: Kwa kufafanua mtumiaji wa POSIX na kundi kwa kila kituo cha ufikiaji, unaweza kwa urahisi kusimamia ruhusa za ufikiaji kwa programu au watumiaji tofauti bila kubadilisha ruhusa za mfumo wa faili wa msingi.
Kuthibitisha saraka ya mzizi: Vituo vya ufikiaji vinaweza kuzuia ufikiaji wa saraka maalum ndani ya mfumo wa faili wa EFS, kuhakikisha kwamba kila programu au mtumiaji inafanya kazi ndani ya folda yake iliyotengwa. Hii husaidia kuzuia kufichuliwa au kubadilishwa kwa data kwa bahati.
Ufikiaji rahisi wa mfumo wa faili: Vituo vya ufikiaji vinaweza kuunganishwa na kazi ya AWS Lambda au kazi ya AWS Fargate, na hivyo kurahisisha ufikiaji wa mfumo wa faili kwa programu zisizo na seva na zilizofungashwa.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
