AWS - EFS Enum
EFS
基本情報
Amazon Elastic File System(EFS)は、AWSによって完全に管理され、スケーラブルで弾力性のあるネットワークファイルシステムとして提示されています。このサービスは、複数のEC2インスタンスや他のAWSサービスから同時にアクセスできるファイルシステムの作成と構成を容易にします。EFSの主な機能には、手動介入なしで自動的にスケーリングする能力、低遅延アクセスの提供、高スループットワークロードのサポート、データの耐久性の保証、さまざまなAWSセキュリティメカニズムとのシームレスな統合が含まれます。
デフォルトでは、マウントするEFSフォルダは**/
**になりますが、異なる名前になる可能性があります。
ネットワークアクセス
EFSはVPC内で作成され、デフォルトですべてのVPCサブネットワークからアクセス可能です。ただし、EFSにはセキュリティグループがあります。EFSをマウントするためにEC2(または他のAWSサービス)にアクセス権を与えるには、EFSセキュリティグループで、EC2セキュリティグループからのNFS(2049ポート)のインバウンドルールを許可する必要があります。
これを行わないと、NFSサービスに接続できません。
これを行う方法の詳細については、次を確認してください:https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
列挙
EFSのマウントポイントが同じVPC内にあるが異なるサブネットにある可能性があります。すべてのEFSポイントを見つけることを確実にしたい場合は、/16
ネットマスクをスキャンすることがより良いでしょう。
EFSのマウント
IAM Access
デフォルトでは、EFSへのネットワークアクセスを持つ誰でも、ルートユーザーとしてマウント、読み取り、書き込みが可能です。ただし、ファイルシステムポリシーにより、特定の権限を持つプリンシパルのみがアクセスできるようになる場合があります。 たとえば、このファイルシステムポリシーは、IAM権限を持っていない場合には、ファイルシステムをマウントできないようにします。
また、これにより匿名アクセスが防止されます:
IAM で保護されたファイルシステムをマウントするには、マウントコマンドでタイプ "efs" を使用する必要があることに注意してください:
アクセスポイント
アクセスポイントは、共有データセットへのアプリケーションアクセスを管理しやすくする、EFSファイルシステムへのアプリケーション固有のエントリーポイントです。
アクセスポイントを作成すると、ファイルやディレクトリの所有者やPOSIX権限を指定できます。また、アクセスポイントを通じて作成されるファイルやディレクトリのために、カスタムルートディレクトリを定義することもできます。既存のディレクトリを指定するか、所望の権限で新しいディレクトリを作成することができます。これにより、EFSファイルシステムへのアクセスをアプリケーションやユーザーごとに制御しやすくなり、共有ファイルデータを管理および保護することが容易になります。
アクセスポイントからファイルシステムをマウントすることができます。
アクセスポイントをマウントしようとしても、ネットワーク経由でNFSサービスにアクセスできる必要があり、EFSにファイルシステムポリシーがある場合は、それをマウントするために十分なIAM権限が必要です。
アクセスポイントは以下の目的で使用できます:
権限管理の簡素化:各アクセスポイントに対してPOSIXユーザーとグループを定義することで、基礎となるファイルシステムの権限を変更せずに、異なるアプリケーションやユーザーのアクセス権限を簡単に管理できます。
ルートディレクトリの強制:アクセスポイントは、EFSファイルシステム内の特定のディレクトリへのアクセスを制限でき、各アプリケーションやユーザーが指定されたフォルダ内で操作することを保証します。これにより、データの誤表示や変更を防ぐのに役立ちます。
ファイルシステムへの簡単なアクセス:アクセスポイントは、AWS Lambda関数やAWS Fargateタスクに関連付けることができ、サーバーレスおよびコンテナ化されたアプリケーションのファイルシステムアクセスを簡素化します。
Privesc
pageAWS - EFS PrivescPost Exploitation
pageAWS - EFS Post ExploitationPersistence
pageAWS - EFS Persistence最終更新