GCP - Compute Instances

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Temel Bilgiler

Google Cloud Hesap Makineleri, Google'ın bulut altyapısında özelleştirilebilir sanal makinelerdir ve geniş bir uygulama yelpazesinde ölçeklenebilir ve talep üzerine hesaplama gücü sunar. Küresel dağıtım, kalıcı depolama, esnek işletim sistemi seçenekleri ve güçlü ağ ve güvenlik entegrasyonları gibi özellikler sunarak, web sitelerini barındırmak, veri işlemek ve bulutta uygulamaları verimli bir şekilde çalıştırmak için çok yönlü bir seçenek sunar.

Gizli VM

Gizli VM'ler, en son nesil AMD EPYC işlemciler tarafından sunulan donanım tabanlı güvenlik özelliklerini kullanır. Bu özellikler, VM'nin işlenen ve depolanan verilerini ana işletim sistemi ve hipervizörden bile korumasını sağlar.

Gizli bir VM çalıştırmak için makine türü, ağ arayüzü, önyükleme diski görüntüsü gibi şeyleri değiştirmeniz gerekebilir.

Disk ve Disk Şifreleme

Kullanılacak diski seçmek veya yeni bir tane oluşturmak mümkündür. Yeni bir tane seçerseniz:

  • Diskin boyutunu seçebilirsiniz

  • İşletim Sistemini seçebilirsiniz

  • Örneğin silindiğinde diski silinmesini isteyip istemediğinizi belirtebilirsiniz

  • Şifreleme: Varsayılan olarak bir Google yönetilen anahtar kullanılacaktır, ancak aynı zamanda KMS'den bir anahtar seçebilir veya kullanılacak ham anahtarı belirtebilirsiniz.

Konteyner Dağıtımı

Sanal makine içine bir konteyner dağıtmak mümkündür. Kullanılacak görüntüyü yapılandırabilir, içinde çalıştırılacak komutu, argümanları, bir birim bağlayabilir ve bu konteyner için çeşitli seçenekler yapılandırabilirsiniz, örneğin ayrıcalıklı olarak çalıştırma, stdin ve sahte TTY.

Hizmet Hesabı

Varsayılan olarak, Hesap Makinesi varsayılan hizmet hesabı kullanılacaktır. Bu SA'nın e-posta adresi şuna benzer: <proj-num>-compute@developer.gserviceaccount.com Bu hizmet hesabı, projenin tümü üzerinde Editör rolüne (yüksek yetkiler) sahiptir.

Ve varsayılan erişim kapsamları aşağıdaki gibidir:

  • https://www.googleapis.com/auth/devstorage.read_only -- Bucket'lara okuma erişimi :)

  • https://www.googleapis.com/auth/logging.write

  • https://www.googleapis.com/auth/monitoring.write

  • https://www.googleapis.com/auth/servicecontrol

  • https://www.googleapis.com/auth/service.management.readonly

  • https://www.googleapis.com/auth/trace.append

Ancak, bunu bir tıklama ile cloud-platform olarak vermek veya özel olanları belirtmek mümkündür.

Güvenlik Duvarı

HTTP ve HTTPS trafiğine izin vermek mümkündür.

  • IP Yönlendirme: İstemcinin oluşturulmasından itibaren IP yönlendirmeyi etkinleştirmek mümkündür.

  • Ana Makine Adı: İsteme kalıcı bir ana makine adı verebilirsiniz.

  • Arayüz: Bir ağ arayüzü eklemek mümkündür.

Ek Güvenlik

Bu seçenekler, VM'nin güvenliğini artırır ve önerilir:

  • Güvenli önyükleme: Güvenli önyükleme, VM örneklerinizi önyükleme düzeyi ve çekirdek düzeyi kötü amaçlı yazılımlara ve kök kitlere karşı korur.

  • vTPM'yi Etkinleştir: Sanal Güvenilir Platform Modülü (vTPM), konuk VM'nizin önyükleme öncesi ve önyükleme bütünlüğünü doğrular ve anahtar oluşturma ve koruma sunar.

  • Bütünlük denetimi: Bütünlük izleme, Stackdriver raporları kullanarak kalkanlı VM örneklerinizin çalışma zamanı önyükleme bütünlüğünü izlemenizi ve doğrulamanızı sağlar. vTPM'nin etkinleştirilmesi gereklidir.

VM Erişimi

VM'ye erişimi etkinleştirmenin yaygın yolu, belirli SSH genel anahtarlarının VM'ye erişmesine izin vermektir. Ancak, bu erişimi IAM kullanarak os-config hizmetini kullanarak etkinleştirmek de mümkündür. Dahası, bu hizmeti kullanarak VM'ye erişmek için 2FA'yı etkinleştirmek de mümkündür. Bu hizmet etkinleştirildiğinde, SSH anahtarlarıyla erişim devre dışı bırakılır.

Meta Veri

Her makine açıldığında veya yeniden başlatıldığında yürütülecek kabuk komutları olan otomasyonu (AWS'deki userdata) tanımlamak mümkündür.

Ayrıca, metadata uç noktasından erişilebilecek ekstra meta veri anahtar-değer değerleri eklemek de mümkündür. Bu bilgi genellikle ortam değişkenleri ve başlatma/kapatma komutları için kullanılır. Bu, numaralandırma bölümündeki bir komutun describe yöntemi kullanılarak elde edilebilir, ancak ayrıca meta veri uç noktasına erişerek örneğin içeriden de alınabilir.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Ayrıca, bağlı hizmet hesabı için yetkilendirme belirteci ve özet bilgiler örneğin, örneğin, ağ ve proje hakkında, meta veri uç noktasından de alınabilir. Daha fazla bilgi için şuraya bakın:

Şifreleme

Varsayılan olarak, Google tarafından yönetilen bir şifreleme anahtarı kullanılır, ancak Müşteri tarafından yönetilen bir şifreleme anahtarı (CMEK) yapılandırılabilir. Ayrıca, kullanılan CMEF iptal edildiğinde ne yapılacağını da yapılandırabilirsiniz: Hiçbir şey yapma veya sanal makineyi kapatma.

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Last updated