AWS - EFS Enum
EFS
Información Básica
Amazon Elastic File System (EFS) se presenta como un sistema de archivos de red totalmente administrado, escalable y elástico por AWS. El servicio facilita la creación y configuración de sistemas de archivos que pueden ser accedidos simultáneamente por múltiples instancias EC2 y otros servicios de AWS. Las características clave de EFS incluyen su capacidad para escalar automáticamente sin intervención manual, proporcionar acceso de baja latencia, admitir cargas de trabajo de alto rendimiento, garantizar la durabilidad de los datos e integrarse sin problemas con varios mecanismos de seguridad de AWS.
Por defecto, la carpeta EFS a montar será /
pero podría tener un nombre diferente.
Acceso de Red
Un EFS se crea en una VPC y sería accesible por defecto en todas las subredes de la VPC. Sin embargo, el EFS tendrá un Grupo de Seguridad. Para dar acceso a un EC2 (u otro servicio de AWS) para montar el EFS, es necesario permitir en el grupo de seguridad del EFS una regla NFS de entrada (puerto 2049) desde el Grupo de Seguridad del EC2.
Sin esto, no podrás contactar con el servicio NFS.
Para obtener más información sobre cómo hacer esto, consulta: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Enumeración
Puede ser que el punto de montaje de EFS esté dentro de la misma VPC pero en una subred diferente. Si quieres asegurarte de encontrar todos los puntos de EFS, sería mejor escanear la máscara de red /16
.
Montar EFS
Acceso IAM
Por defecto, cualquier persona con acceso a la red de EFS podrá montarlo, leerlo y escribirlo incluso como usuario root. Sin embargo, podrían existir políticas de sistema de archivos que solo permitan el acceso a los principios con permisos específicos. Por ejemplo, esta política de sistema de archivos no permitirá ni siquiera montar el sistema de archivos si no tienes el permiso de IAM:
O esto evitará el acceso anónimo:
Ten en cuenta que para montar sistemas de archivos protegidos por IAM DEBES usar el tipo "efs" en el comando de montaje:
Puntos de Acceso
Los puntos de acceso son puntos de entrada específicos de la aplicación en un sistema de archivos EFS que facilitan la gestión del acceso de la aplicación a conjuntos de datos compartidos.
Al crear un punto de acceso, puedes especificar el propietario y los permisos POSIX para los archivos y directorios creados a través del punto de acceso. También puedes definir un directorio raíz personalizado para el punto de acceso, ya sea especificando un directorio existente o creando uno nuevo con los permisos deseados. Esto te permite controlar el acceso a tu sistema de archivos EFS de forma específica por aplicación o por usuario, facilitando la gestión y seguridad de tus datos de archivos compartidos.
Puedes montar el sistema de archivos desde un punto de acceso de la siguiente manera:
Ten en cuenta que incluso al intentar montar un punto de acceso, aún necesitas poder contactar el servicio NFS a través de la red, y si el EFS tiene una política de sistema de archivos, necesitas suficientes permisos IAM para montarlo.
Los puntos de acceso se pueden utilizar para los siguientes propósitos:
Simplificar la gestión de permisos: Al definir un usuario y grupo POSIX para cada punto de acceso, puedes gestionar fácilmente los permisos de acceso para diferentes aplicaciones o usuarios sin modificar los permisos subyacentes del sistema de archivos.
Imponer un directorio raíz: Los puntos de acceso pueden restringir el acceso a un directorio específico dentro del sistema de archivos EFS, asegurando que cada aplicación o usuario opere dentro de su carpeta designada. Esto ayuda a prevenir la exposición o modificación accidental de datos.
Acceso más fácil al sistema de archivos: Los puntos de acceso pueden asociarse con una función de AWS Lambda o una tarea de AWS Fargate, simplificando el acceso al sistema de archivos para aplicaciones sin servidor y contenerizadas.
Escalada de privilegios
pageAWS - EFS PrivescPost Explotación
pageAWS - EFS Post ExploitationPersistencia
pageAWS - EFS PersistenceÚltima actualización