Greek - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Airflow Configuration

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Αρχείο Ρύθμισης

Το Apache Airflow δημιουργεί ένα αρχείο ρύθμισης σε όλες τις μηχανές του airflow με το όνομα airflow.cfg στον φάκελο του χρήστη airflow. Αυτό το αρχείο ρύθμισης περιέχει πληροφορίες ρύθμισης και μπορεί να περιέχει ενδιαφέρουσες και ευαίσθητες πληροφορίες.

Υπάρχουν δύο τρόποι για να έχετε πρόσβαση σε αυτό το αρχείο: Με το να διακινδυνεύσετε μια μηχανή του airflow, ή με την πρόσβαση στην ιστοσελίδα της κονσόλας.

Σημειώστε ότι οι τιμές μέσα στο αρχείο ρύθμισης μπορεί να μην είναι αυτές που χρησιμοποιούνται, καθώς μπορείτε να τις αντικαταστήσετε ορίζοντας μεταβλητές περιβάλλοντος όπως AIRFLOW__WEBSERVER__EXPOSE_CONFIG: 'true'.

Εάν έχετε πρόσβαση στο αρχείο ρύθμισης στον web server, μπορείτε να ελέγξετε την πραγματική ρύθμιση που εκτελείται στην ίδια σελίδα όπου εμφανίζεται η ρύθμιση. Εάν έχετε πρόσβαση σε κάποια μηχανή μέσα στο περιβάλλον του airflow, ελέγξτε το περιβάλλον.

Ορισμένες ενδιαφέρουσες τιμές για έλεγχο κατά την ανάγνωση του αρχείου ρύθμισης:

[api]

  • access_control_allow_headers: Αυτό υποδεικνύει τους επιτρεπόμενους κεφαλίδες για το CORS

  • access_control_allow_methods: Αυτό υποδεικνύει τις επιτρεπόμενες μεθόδους για το CORS

  • access_control_allow_origins: Αυτό υποδεικνύει τις επιτρεπόμενες προέλευσεις για το CORS

  • auth_backend: Σύμφωνα με τα έγγραφα μπορούν να υπάρχουν μερικές επιλογές για να ρυθμιστεί ποιος μπορεί να έχει πρόσβαση στο API:

  • airflow.api.auth.backend.deny_all: Από προεπιλογή κανείς δεν μπορεί να έχει πρόσβαση στο API

  • airflow.api.auth.backend.default: Ο καθένας μπορεί να έχει πρόσβαση χωρίς πιστοποίηση

  • airflow.api.auth.backend.kerberos_auth: Για να ρυθμιστεί η πιστοποίηση kerberos

  • airflow.api.auth.backend.basic_auth: Για βασική πιστοποίηση

  • airflow.composer.api.backend.composer_auth: Χρησιμοποιεί την πιστοποίηση των composers (GCP) (από εδώ).

  • composer_auth_user_registration_role: Αυτό υποδεικνύει τον ρόλο που θα έχει ο χρήστης του composer μέσα στο airflow (Op από προεπιλογή).

  • Μπορείτε επίσης να δημιουργήσετε τη δική σας μέθοδο πιστοποίησης με τη χρήση της python.

  • google_key_path: Διαδρομή προς το GCP service account key

[atlas]

  • password: Κωδικός πρόσβασης του Atlas

  • username: Όνομα χρήστη του Atlas

[celery]

  • flower_basic_auth : Διαπιστευτήρια (user1:password1,user2:password2)

  • result_backend: Η διεύθυνση url της Postgres που μπορεί να περιέχει διαπιστευτήρια.

  • ssl_cacert: Διαδρομή προς το cacert

  • ssl_cert: Διαδρομή προς το πιστοποιητικό

  • ssl_key: Διαδρομή προς το κλειδί

[core]

  • **`dag_discovery_safe

AUTH_TYPE = AUTH_DB

Αυτό σημαίνει ότι η πιστοποίηση ελέγχεται έναντι της βάσης δεδομένων. Ωστόσο, είναι δυνατές και άλλες διαμορφώσεις, όπως

AUTH_TYPE = AUTH_OAUTH

Για να αφήσετε την πιστοποίηση σε υπηρεσίες τρίτων.

Ωστόσο, υπάρχει επίσης η δυνατότητα να επιτραπεί η πρόσβαση ανώνυμων χρηστών, ορίζοντας την παρακάτω παράμετρο στον επιθυμητό ρόλο:

AUTH_ROLE_PUBLIC = 'Admin'
Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

PreviousApache Airflow SecurityNextAirflow RBAC

Last updated