Az - File Shares
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
Azure 文件 是一种完全托管的云文件存储服务,提供通过标准 SMB (服务器消息块) 和 NFS (网络文件系统) 协议访问的共享文件存储。尽管主要使用的协议是 SMB,但 Azure 文件共享不支持 Windows 的 NFS(根据 文档)。它允许您创建高度可用的网络文件共享,可以被多个虚拟机 (VM) 或本地系统同时访问,从而实现跨环境的无缝文件共享。
事务优化:针对事务密集型操作进行优化。
热存储:在事务和存储之间保持平衡。
冷存储:具有成本效益的存储。
高级存储:针对低延迟和 IOPS 密集型工作负载进行优化的高性能文件存储。
每日备份:每天在指定时间(例如 UTC 19:30)创建一个备份点,并存储 1 到 200 天。
每周备份:每周在指定的日期和时间(星期日 19:30)创建一个备份点,并存储 1 到 200 周。
每月备份:每月在指定的日期和时间(例如第一个星期日 19:30)创建一个备份点,并存储 1 到 120 个月。
每年备份:每年在指定的日期和时间(例如一月第一个星期日 19:30)创建一个备份点,并存储 1 到 10 年。
也可以随时进行 手动备份和快照。在此上下文中,备份和快照实际上是相同的。
本地 AD DS 身份验证:使用与 Microsoft Entra ID 同步的本地 Active Directory 凭据进行基于身份的访问。需要与本地 AD DS 的网络连接。
Microsoft Entra 域服务身份验证:利用 Microsoft Entra 域服务(基于云的 AD)使用 Microsoft Entra 凭据提供访问。
Microsoft Entra Kerberos 混合身份:使 Microsoft Entra 用户能够通过互联网使用 Kerberos 进行 Azure 文件共享的身份验证。支持混合的 Microsoft Entra 加入或 Microsoft Entra 加入的 VM,而无需与本地域控制器的连接。但不支持仅云身份。
Linux 客户端的 AD Kerberos 身份验证:允许 Linux 客户端通过本地 AD DS 或 Microsoft Entra 域服务使用 Kerberos 进行 SMB 身份验证。
默认情况下,az
cli 将使用帐户密钥来签名密钥并执行操作。要使用 Entra ID 主体权限,请使用参数 --auth-mode login --enable-file-backup-request-intent
。
使用参数 --account-key
指定要使用的帐户密钥
使用参数 --sas-token
与 SAS 令牌一起访问
这些是 Azure 在撰写时建议的连接文件共享的脚本:
您需要替换 <STORAGE-ACCOUNT>
、<ACCESS-KEY>
和 <FILE-SHARE-NAME>
占位符。
与存储权限提升相同:
Az - Storage Privesc与存储持久性相同:
Az - Storage Persistence学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)