AWS - EFS Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS), AWS tarafından tamamen yönetilen, ölçeklenebilir ve elastik bir ağ dosya sistemi olarak sunulmaktadır. Bu hizmet, birden fazla EC2 örneği ve diğer AWS hizmetleri tarafından eşzamanlı olarak erişilebilen dosya sistemlerinin oluşturulmasını ve yapılandırılmasını kolaylaştırır. EFS'nin ana özellikleri arasında, manuel müdahale olmadan otomatik olarak ölçeklenebilme, düşük gecikme süresi erişimi sağlama, yüksek verimlilikteki iş yüklerini destekleme, veri dayanıklılığını garanti etme ve çeşitli AWS güvenlik mekanizmalarıyla sorunsuz entegrasyon yer almaktadır.
Varsayılan olarak, bağlanacak EFS klasörü / olacaktır, ancak farklı bir adı olabilir.
Bir EFS, bir VPC içinde oluşturulur ve varsayılan olarak tüm VPC alt ağlarında erişilebilir olacaktır. Ancak, EFS'nin bir Güvenlik Grubu olacaktır. EFS'yi bağlamak için bir EC2'ye (veya başka bir AWS hizmetine) erişim vermek için, EFS güvenlik grubunda EC2 Güvenlik Grubundan gelen bir NFS (2049 portu) kuralının izin verilmesi gerekir.
Bunu yapmadan, NFS hizmetiyle iletişim kuramazsınız.
Bunu nasıl yapacağınız hakkında daha fazla bilgi için kontrol edin: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
EFS montaj noktası aynı VPC içinde ancak farklı bir alt ağda olabilir. Tüm EFS noktalarını bulduğunuzdan emin olmak istiyorsanız, /16 ağ maskesini taramak daha iyi olacaktır.
Varsayılan olarak, EFS'ye ağ erişimi olan herkes, kök kullanıcı olarak bile onu bağlayabilir, okuyabilir ve yazabilir. Ancak, Dosya Sistemi politikaları, sadece belirli izinlere sahip ilkelerin erişimine izin verecek şekilde uygulanabilir. Örneğin, bu Dosya Sistemi politikası, IAM izniniz yoksa dosya sistemini bağlamanıza bile izin vermeyecektir:
Veya bu anonim erişimi engelleyecektir:
IAM ile korunan dosya sistemlerini bağlamak için mount komutunda "efs" türünü KESİNLİKLE kullanmalısınız:
Erişim noktaları, paylaşılan veri setlerine uygulama erişimini yönetmeyi kolaylaştıran EFS dosya sistemine uygulama özel giriş noktalarıdır.
Bir erişim noktası oluşturduğunuzda, erişim noktası aracılığıyla oluşturulan dosyalar ve dizinler için sahibi ve POSIX izinlerini belirtebilirsiniz. Ayrıca, erişim noktası için özel bir kök dizin tanımlayabilirsiniz, ya mevcut bir dizini belirterek ya da istenen izinlerle yeni bir tane oluşturarak. Bu, EFS dosya sisteminize uygulama veya kullanıcı bazında erişimi kontrol etmenizi sağlar ve paylaşılan dosya verilerinizi yönetmeyi ve güvence altına almayı kolaylaştırır.
Erişim noktasından dosya sistemini şu şekilde bağlayabilirsiniz:
Erişim noktasını bağlamaya çalışsanız bile, ağ üzerinden NFS hizmeti ile iletişim kurabilmeniz gerektiğini unutmayın ve EFS'nin bir dosya sistemi politikası varsa, onu bağlamak için yeterli IAM izinlerine sahip olmanız gerekir.
Erişim noktaları aşağıdaki amaçlar için kullanılabilir:
İzin yönetimini basitleştirme: Her erişim noktası için bir POSIX kullanıcı ve grubu tanımlayarak, temel dosya sisteminin izinlerini değiştirmeden farklı uygulamalar veya kullanıcılar için erişim izinlerini kolayca yönetebilirsiniz.
Kök dizini zorunlu kılma: Erişim noktaları, EFS dosya sistemi içinde belirli bir dizine erişimi kısıtlayabilir, böylece her uygulama veya kullanıcı kendi belirlenen klasörü içinde çalışır. Bu, kazara veri ifşası veya değişikliğini önlemeye yardımcı olur.
Dosya sistemi erişimini kolaylaştırma: Erişim noktaları, bir AWS Lambda işlevi veya bir AWS Fargate görevi ile ilişkilendirilebilir, bu da sunucusuz ve konteynerleştirilmiş uygulamalar için dosya sistemi erişimini basitleştirir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
