Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - Compute Instances

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Taarifa Msingi

Vifaa vya Kuhesabu vya Google Cloud ni mashine za kawaida za kibinafsi kwenye miundombinu ya wingu la Google, zinazotoa nguvu ya kuhesabu inayoweza kupanuliwa na inayohitajika kwa maombi mbalimbali. Zinatoa huduma kama kupelekwa kwa ulimwengu mzima, uhifadhi endelevu, chaguzi za OS za kubadilika, na ushirikiano imara wa mitandao na usalama, hivyo kuwa chaguo la kipekee kwa kuhifadhi tovuti, kusindika data, na kukimbia maombi kwa ufanisi kwenye wingu.

VM ya Siri

VM za Siri hutumia vipengele vya usalama vilivyotegemea vifaa vilivyotolewa na michakato ya AMD EPYC ya kizazi kipya, ambayo ni pamoja na kifaa cha kusimbua kumbukumbu na uthibitishaji salama wa ujumuishaji wa vitengo. Vipengele hivi huruhusu VM kulinda data inayosindika na kuhifadhiwa ndani yake hata kutoka kwa mfumo wa uendeshaji wa mwenyeji na hypervisor.

Ili kuendesha VM ya Siri inaweza kuhitaji kubadilisha mambo kama aina ya mashine, interface ya mtandao, picha ya diski ya kuanzisha.

Diski & Ufichaji wa Diski

Inawezekana kuchagua diski ya kutumia au kuunda mpya. Ikiwa unachagua mpya unaweza:

  • Chagua ukubwa wa diski

  • Chagua OS

  • Eleza ikiwa unataka kufuta diski wakati kifaa kinapofutwa

  • Ufichaji: Kwa chaguo-msingi itatumika ufunguo uliosimamiwa na Google, lakini unaweza pia kuchagua ufunguo kutoka KMS au eleza ufunguo wa moja kwa moja wa kutumia.

Kupeleka Kontena

Inawezekana kupeleka kontena ndani ya mashine ya kibinafsi. Inawezekana kusanidi picha ya kutumia, weka amri ya kukimbia ndani, vigezo, pima kiasi, na mazingira ya env (habari nyeti?) na kusanidi chaguzi kadhaa kwa kontena hili kama kutekeleza kama mwenye haki, stdin na pseudo TTY.

Akaunti ya Huduma

Kwa chaguo-msingi, akaunti ya huduma ya msingi ya Compute Engine itatumika. Barua pepe ya SA hii ni kama: <proj-num>-compute@developer.gserviceaccount.com Akaunti hii ya huduma ina jukumu la Mhariri kwenye mradi mzima (mamlaka kubwa).

Na mizizi ya ufikiaji ya chaguo-msingi ni kama ifuatavyo:

  • https://www.googleapis.com/auth/devstorage.read_only -- Upatikanaji wa kusoma kwa vikapu :)

  • https://www.googleapis.com/auth/logging.write

  • https://www.googleapis.com/auth/monitoring.write

  • https://www.googleapis.com/auth/servicecontrol

  • https://www.googleapis.com/auth/service.management.readonly

  • https://www.googleapis.com/auth/trace.append

Hata hivyo, inawezekana kumpa cloud-platform kwa kubofya au kufafanua zile za desturi.

Ukuta wa Moto

Inawezekana kuruhusu trafiki ya HTTP na HTTPS.

Uunganishaji

  • Uendeshaji wa IP: Inawezekana kuwezesha uendeshaji wa IP tangu kuanzishwa kwa kifaa.

  • Jina la Mwenyeji: Inawezekana kumpa kifaa jina la mwenyeji wa kudumu.

  • Interface: Inawezekana kuongeza kiolesura cha mtandao

Usalama wa Ziada

Chaguo hizi zitakuwa ongeza usalama wa VM na zinapendekezwa:

  • Kuanzisha usalama: Kuanzisha usalama husaidia kulinda mifano yako ya VM dhidi ya zisizo za kiwango cha boot na rootkits za kernel.

  • Wezesha vTPM: Moduli ya Jukwaa la Kuaminika la Virtual (vTPM) inathibitisha uadilifu wa mgeni wako wa VM kabla ya kuanza na baada ya kuanza, na inatoa uundaji na ulinzi wa funguo.

  • Usimamizi wa Uadilifu: Ufuatiliaji wa uadilifu huruhusu kufuatilia na kuthibitisha uadilifu wa boot wa muda wa mifano yako ya VM iliyolindwa kwa kutumia ripoti za Stackdriver. Inahitaji vTPM kuwezeshwa.

Upatikanaji wa VM

Njia ya kawaida ya kuwezesha upatikanaji wa VM ni kwa kuruhusu funguo za umma za SSH fulani kupata VM. Hata hivyo, pia inawezekana kuwezesha upatikanaji wa VM kupitia huduma ya os-config kwa kutumia IAM. Zaidi ya hayo, inawezekana kuwezesha 2FA kupata VM kwa kutumia huduma hii. Wakati hii huduma inapokuwa imezimwa, upatikanaji kupitia funguo za SSH unazimwa.

Metadata

Inawezekana kufafanua utomatiki (data ya mtumiaji katika AWS) ambayo ni amri za shell ambazo zitatekelezwa kila wakati mashine inapoanza au kuanza upya.

Pia inawezekana kuongeza thamani za ufunguo-ufunguo za metadata za ziada ambazo zitapatikana kutoka kwa mwisho wa metadata. Taarifa hii mara nyingi hutumiwa kwa mazingira ya mazingira na hati za kuanza/kuzimwa. Hii inaweza kupatikana kwa kutumia mueleze mbinu kutoka kwa amri katika sehemu ya uhesabuaji, lakini pia inaweza kupatikana kutoka ndani ya kifaa kwa kufikia mwisho wa metadata.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Zaidi ya hayo, tokeni ya uthibitishaji kwa akaunti ya huduma iliyowekwa na maelezo ya jumla kuhusu kifaa, mtandao na mradi pia yatakuwa yanapatikana kutoka kwa kituo cha metadata. Kwa maelezo zaidi angalia:

Kifaa cha Kuficha

Kifunguo cha kuficha kilichosimamiwa na Google hutumiwa kwa chaguo-msingi lakini kifunguo cha kuficha kilichosimamiwa na Mteja (CMEK) kinaweza kusanidiwa. Unaweza pia kusanidi ni nini cha kufanya wakati CMEF iliyotumiwa inafutwa: Kutoa taarifa au kuzima VM.

Jifunze kuhusu kudukua AWS kutoka mwanzo hadi kuwa shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

PreviousGCP - Compute EnumNextGCP - VPC & Networking

Last updated