Eventuali rischi noti con Elastic File System?

Question

Eventuali rischi noti con Elastic File System?

#1 da (3 voti)

1

Voglio dare ad alcuni dei miei clienti la possibilità di scrivere file tramite SFTP, che poi posso leggere dal mio server principale.

Dato che sto usando EC2, per farlo ho semplicemente aperto un Elastic File System (EFS) e l'ho montato su due server: sul mio server principale, che è quello che voglio proteggere, e su un nuovo micro server che Non mi interessa e viene utilizzato per consentire sftp tramite nome utente e password. Il micro server consente la connessione SSH senza chiavi.

Ora assumendo quanto segue:

Non ho nulla di importante sul micro server.
Non eseguo mai file che ho letto da EFS sul mio server principale, i suoi soli file di dati.
Non mi interessa se client diversi sovrascrivono i file degli altri.

Ci sono delle minacce di cui dovrei preoccuparmi? Qualche possibile attacco noto?

Ad esempio, diciamo che un utente malintenzionato in qualche modo prende completamente il micro server e ha i privilegi di root, può in qualche modo penetrare nel server principale tramite EFS? C'è qualche dato segreto che Amazon ha messo sulla mia istanza che può rubare? (come il mio ID account, chiavi, ecc.)

Se rovino completamente e qualcuno si impossessa del server micro sftp - il mio server principale è ancora al sicuro?

ubuntu aws nfs sftp

posta Ronen Ness 21.02.2017 - 15:56

fonte

1 risposta

Leggi altre domande sui tag ubuntu aws nfs sftp

Quanto è sicuro memorizzare le informazioni crittografiche nel registro della CPU anziché nella RAM Implicazioni della politica di modifica delle password rispetto alla disabilitazione degli account in Active Directory

score 3 · Accepted Answer

Dipende dalla configurazione della tua rete e dei tuoi server.

Se il tuo server principale non ha una rotta verso Internet, potresti fornire un bastione che può essere lanciato un attacco dal micro al server principale. Se il server principale ha un IP pubblico che non si applica.

Metterei i due server su sottoreti differenti, o forse anche in VPC separati. Ciò impedirebbe al micro server di attaccare il server principale - se non puoi accedere, non puoi attaccare. Vorresti assicurarti che gli utenti che possono accedere al micro server non abbiano account sul server principale, ovvero utilizzare certificati diversi.

Eviterei di dare al server principale un IP pubblico. Metti dietro un Elastic Load Balancer (ELB) , che oltre al carico di bilanciamento fornisce protezione contro molte minacce, incluso il livello 4 e attacchi di livello 7 - incluso DDOS. Puoi utilizzare AWS WAF per ulteriore protezione. ELB include Scudo AWS .

Supponendo che il tuo micro server non possa accedere al tuo server principale, la domanda è se EFS fornisce un altro mezzo per attaccare il server principale. EFS è solo una condivisione NFS ospitata in cui ti viene addebitato l'utilizzo.

Personalmente non vedo alcun modo in cui EFS possa essere usato per attaccare il server principale. Questo non vuol dire che non c'è un modo, solo che non riesco a vederne uno.