AWS - EFS Enum
EFS
Taarifa Msingi
Amazon Elastic File System (EFS) inajulikana kama mtandao wa faili uliosimamiwa kabisa, unaoweza kupanuliwa, na wa kielelezo na AWS. Huduma hii inarahisisha uundaji na usanidi wa mfumo wa faili ambao unaweza kufikiwa kwa wakati mmoja na mifano kadhaa ya EC2 na huduma zingine za AWS. Sifa muhimu za EFS ni pamoja na uwezo wake wa kupanuka moja kwa moja bila kuingilia kati kwa mikono, kutoa ufikiaji wa chini wa kuchelewa, kusaidia kazi zenye uwezo mkubwa wa kupitisha data, kuhakikisha uthabiti wa data, na kuingiliana kwa urahisi na mbinu mbalimbali za usalama za AWS.
Kwa chaguo-msingi, folda ya EFS ya kufunga itakuwa /
lakini inaweza kuwa na jina tofauti.
Upatikanaji wa Mtandao
EFS inaundwa katika VPC na itakuwa inapatikana kwa chaguo-msingi katika mitandao yote ya VPC. Hata hivyo, EFS itakuwa na Kikundi cha Usalama. Ili kumpa ufikiaji kwa EC2 (au huduma yoyote nyingine ya AWS) ili kufunga EFS, ni lazima kuruhusu katika kikundi cha usalama cha EFS kuingia kwa NFS (kituo cha 2049) kutoka kwa kikundi cha usalama cha EC2.
Bila hii, hutaweza kuwasiliana na huduma ya NFS.
Kwa habari zaidi kuhusu jinsi ya kufanya hivi angalia: https://stackoverflow.com/questions/38632222/aws-efs-connection-timeout-at-mount
Uchambuzi
Inawezekana kwamba sehemu ya kufunga EFS iko ndani ya VPC ile ile lakini kwenye subnet tofauti. Ikiwa unataka kuwa na uhakika unapata vituo vyote vya EFS itakuwa bora kuscan netmask ya /16
.
Funga EFS
Upatikanaji wa IAM
Kwa chaguo-msingi yeyote mwenye upatikanaji wa mtandao wa EFS ataweza kufunga, kusoma na kuandika hata kama ni mtumiaji wa mizizi. Walakini, sera za Mfumo wa Faili zinaweza kuwekwa ili kuruhusu tu mabwana wenye idhini maalum kuipata. Kwa mfano, sera hii ya Mfumo wa Faili haitaruhusu hata kufunga mfumo wa faili ikiwa huna idhini ya IAM:
Au hii itazuia upatikanaji usiojulikana:
Tafadhali kumbuka kwamba ili kupakia mifumo ya faili iliyolindwa na IAM UNAHITAJI kutumia aina "efs" katika amri ya kupakia:
Vituo vya Kufikia
Vituo vya kufikia ni vielekezi maalum vya programu ndani ya mfumo wa faili wa EFS ambavyo hufanya iwe rahisi kusimamia ufikiaji wa programu kwenye seti za data zilizoshirikiwa.
Unapounda kituo cha kufikia, unaweza kutaja mmiliki na ruhusa za POSIX kwa faili na saraka zilizoundwa kupitia kituo cha kufikia. Unaweza pia kutambua saraka ya mizizi ya desturi kwa kituo cha kufikia, ama kwa kutaja saraka iliyopo au kwa kuunda mpya na ruhusa zinazohitajika. Hii inaruhusu wewe kudhibiti ufikiaji kwenye mfumo wako wa faili wa EFS kulingana na programu au mtumiaji, ikifanya iwe rahisi kusimamia na kusalisha data zako za faili zilizoshirikiwa.
Unaweza kufunga Mfumo wa Faili kutoka kwenye kituo cha kufikia kwa kitu kama:
Tafadhali kumbuka kwamba hata kujaribu kufunga kituo cha kupata bado unahitaji kuweza kuwasiliana na huduma ya NFS kupitia mtandao, na ikiwa EFS ina sera ya mfumo wa faili, unahitaji ruhusa za IAM za kutosha kufunga.
Vipengele vya kupata vinaweza kutumika kwa madhumuni yafuatayo:
Usimamizi rahisi wa ruhusa: Kwa kufafanua mtumiaji na kikundi cha POSIX kwa kila kituo cha kupata, unaweza kusimamia kwa urahisi ruhusa za kupata kwa maombi au watumiaji tofauti bila kuhariri ruhusa za msingi za mfumo wa faili.
Kutekeleza saraka ya msingi: Vipengele vya kupata vinaweza kuzuia upatikanaji kwa saraka maalum ndani ya mfumo wa faili wa EFS, kuhakikisha kwamba kila maombi au mtumiaji anafanya kazi ndani ya folda yake iliyotengwa. Hii husaidia kuzuia ufunuo au mabadiliko ya data kwa bahati mbaya.
Upatikanaji rahisi wa mfumo wa faili: Vipengele vya kupata vinaweza kuunganishwa na kazi ya AWS Lambda au kazi ya AWS Fargate, ikifanya upatikanaji wa mfumo wa faili kuwa rahisi kwa maombi yasiyo na seva na yaliyo na kontena.
Privesc
pageAWS - EFS PrivescBaada ya Kudukuliwa
pageAWS - EFS Post ExploitationUthabiti
pageAWS - EFS PersistenceLast updated