AWS - EFS Enum
EFS
Podstawowe informacje
Amazon Elastic File System (EFS) jest prezentowany przez AWS jako w pełni zarządzany, skalowalny i elastyczny system plików sieciowych. Usługa ułatwia tworzenie i konfigurowanie systemów plików, które mogą być jednocześnie dostępne przez wiele instancji EC2 i inne usługi AWS. Główne cechy EFS obejmują możliwość automatycznego skalowania bez konieczności interwencji manualnej, zapewnienie dostępu o niskim opóźnieniu, obsługę obciążeń o dużej przepustowości, gwarancję trwałości danych oraz bezproblemową integrację z różnymi mechanizmami bezpieczeństwa AWS.
Domyślnie, folder EFS do zamontowania będzie /
, ale może mieć inną nazwę.
Dostęp sieciowy
EFS jest tworzony w VPC i domyślnie jest dostępny we wszystkich podsieciach VPC. Jednak EFS będzie miał Grupę Zabezpieczeń. Aby udzielić dostępu do montowania EFS instancji EC2 (lub dowolnej innej usłudze AWS), konieczne jest zezwolenie w grupie zabezpieczeń EFS na przychodzące reguły NFS (port 2049) z Grupy Zabezpieczeń EC2.
Bez tego nie będzie możliwe skontaktowanie się z usługą NFS.
Aby uzyskać więcej informacji na temat tego, jak to zrobić, sprawdź: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Wyliczenie
Może się zdarzyć, że punkt montowania EFS znajduje się w tej samej VPC, ale w innym podsieci. Jeśli chcesz mieć pewność, że znajdziesz wszystkie punkty EFS, lepiej jest przeskanować maskę sieci /16
.
Zamontuj EFS
Dostęp IAM
Domyślnie każdy z dostępem sieciowym do EFS będzie mógł zamontować, odczytać i zapisywać go nawet jako użytkownik root. Jednak mogą obowiązywać polityki systemu plików, które pozwalają tylko określonym podmiotom na dostęp do niego. Na przykład ta polityka systemu plików nie pozwoli nawet na zamontowanie systemu plików, jeśli nie masz uprawnienia IAM:
Lub to zapobiegnie anonimowemu dostępowi:
Zauważ, że aby zamontować systemy plików chronione przez IAM, MUSISZ użyć typu "efs" w poleceniu montowania:
Punkty dostępu
Punkty dostępu to specyficzne dla aplikacji punkty wejścia do systemu plików EFS, które ułatwiają zarządzanie dostępem aplikacji do udostępnionych zbiorów danych.
Podczas tworzenia punktu dostępu możesz określić właściciela i uprawnienia POSIX dla plików i katalogów tworzonych za pośrednictwem punktu dostępu. Możesz również zdefiniować niestandardowy katalog główny dla punktu dostępu, albo poprzez określenie istniejącego katalogu, albo poprzez utworzenie nowego z pożądanymi uprawnieniami. Pozwala to kontrolować dostęp do systemu plików EFS na poziomie aplikacji lub użytkownika, ułatwiając zarządzanie i zabezpieczanie udostępnionych danych plików.
Możesz zamontować system plików z punktu dostępu w następujący sposób:
Zauważ, że nawet próbując zamontować punkt dostępu, nadal musisz móc skontaktować się z usługą NFS przez sieć, a jeśli EFS ma politykę systemu plików, potrzebujesz wystarczających uprawnień IAM do jego zamontowania.
Punkty dostępu mogą być używane do następujących celów:
Uproszczenie zarządzania uprawnieniami: Poprzez zdefiniowanie użytkownika i grupy POSIX dla każdego punktu dostępu, można łatwo zarządzać uprawnieniami dostępu dla różnych aplikacji lub użytkowników, bez konieczności modyfikowania uprawnień podstawowego systemu plików.
Wymuszenie katalogu głównego: Punkty dostępu mogą ograniczać dostęp do określonego katalogu w systemie plików EFS, zapewniając, że każda aplikacja lub użytkownik działa w swoim wyznaczonym folderze. Pomaga to zapobiec przypadkowemu ujawnieniu lub modyfikacji danych.
Łatwiejszy dostęp do systemu plików: Punkty dostępu mogą być powiązane z funkcją AWS Lambda lub zadaniem AWS Fargate, ułatwiając dostęp do systemu plików dla aplikacji bezserwerowych i konteneryzowanych.
Privesc
pageAWS - EFS PrivescPost Exploitation
pageAWS - EFS Post ExploitationPersistence
pageAWS - EFS PersistenceLast updated