Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic File System (EFS) представлений як повністю керована, масштабована та еластична мережна файлова система від AWS. Сервіс полегшує створення та налаштування файлових систем, до яких можуть одночасно отримувати доступ кілька EC2 екземплярів та інших сервісів AWS. Ключові особливості EFS включають його здатність автоматично масштабуватися без ручного втручання, забезпечувати доступ з низькою затримкою, підтримувати навантаження з високою пропускною здатністю, гарантувати довговічність даних та безшовно інтегруватися з різними механізмами безпеки AWS.
За замовчуванням, папка EFS для монтування буде /, але вона може мати іншу назву.
EFS створюється в VPC і буде за замовчуванням доступний у всіх підмережах VPC. Однак EFS матиме групу безпеки. Щоб надати доступ EC2 (або будь-якому іншому сервісу AWS) для монтування EFS, потрібно дозволити в групі безпеки EFS вхідне правило NFS (порт 2049) з групи безпеки EC2.
Без цього ви не зможете зв'язатися з NFS сервісом.
Для отримання додаткової інформації про те, як це зробити, перегляньте: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Можливо, що точка монтування EFS знаходиться в тій же VPC, але в іншій підмережі. Якщо ви хочете бути впевненими, що знайдете всі точки EFS, краще просканувати мережу з маскою /16.
За замовчуванням будь-хто з мережевим доступом до EFS зможе монтувати, читати та писати його навіть як користувач root. Однак, політики файлової системи можуть бути встановлені, дозволяючи доступ лише принципалам з конкретними дозволами. Наприклад, ця політика файлової системи не дозволить навіть змонтувати файлову систему, якщо ви не маєте дозволу IAM:
Або це запобігатиме анонімному доступу:
Зверніть увагу, що для монтування файлових систем, захищених IAM, ВИ ПОВИННІ використовувати тип "efs" у команді монтування:
Точки доступу є специфічними для застосунку точками входу в систему файлів EFS, які полегшують управління доступом застосунків до спільних наборів даних.
Коли ви створюєте точку доступу, ви можете вказати власника та POSIX дозволи для файлів і каталогів, створених через точку доступу. Ви також можете визначити власний кореневий каталог для точки доступу, вказавши існуючий каталог або створивши новий з бажаними дозволами. Це дозволяє вам контролювати доступ до вашої системи файлів EFS на основі кожного застосунку або користувача, що полегшує управління та захист ваших спільних файлових даних.
Ви можете змонтувати файлову систему з точки доступу за допомогою чогось на зразок:
Зверніть увагу, що навіть намагаючись змонтувати точку доступу, вам все ще потрібно зв'язатися з NFS-сервісом через мережу, і якщо EFS має політику файлової системи, вам потрібні достатні IAM дозволи для її монтування.
Точки доступу можуть використовуватися для наступних цілей:
Спрощення управління дозволами: Визначивши POSIX користувача та групу для кожної точки доступу, ви можете легко керувати дозволами доступу для різних додатків або користувачів, не змінюючи дозволи основної файлової системи.
Забезпечення кореневої директорії: Точки доступу можуть обмежити доступ до конкретної директорії в файловій системі EFS, забезпечуючи, що кожен додаток або користувач працює в своїй призначеній папці. Це допомагає запобігти випадковому витоку або модифікації даних.
Легший доступ до файлової системи: Точки доступу можуть бути асоційовані з функцією AWS Lambda або завданням AWS Fargate, спрощуючи доступ до файлової системи для безсерверних і контейнеризованих додатків.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
