gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-07 02:03:45 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/

Browse Source
This commit is contained in:
Translator
2025-01-02 01:25:21 +00:00
parent 8fb73b8cf9
commit 154465e69f
229 changed files with 2745 additions and 2828 deletions
Download Patch File Download Diff File Expand all files Collapse all files

88
src/pentesting-ci-cd/apache-airflow-security/airflow-configuration.md
View File

@@ -4,91 +4,7 @@
## Konfigurasie Lêer
**Apache Airflow** genereer 'n **konfigurasie lêer** in al die airflow masjiene genaamd **`airflow.cfg`** in die huis van die airflow gebruiker. Hierdie konfigurasie lêer bevat konfigurasie-inligting en **kan interessante en sensitiewe inligting bevat.**
**Daar is twee maniere om toegang tot hierdie lêer te verkry: Deur 'n paar airflow masjiene te kompromitteer, of deur toegang tot die webkonsol.**
Let daarop dat die **waardes binne die konfigurasie lêer** **nie diegene mag wees wat gebruik word nie**, aangesien jy dit kan oorskryf deur omgewingsveranderlikes soos `AIRFLOW__WEBSERVER__EXPOSE_CONFIG: 'true'` in te stel.
As jy toegang het tot die **konfigurasie lêer in die webbediener**, kan jy die **werklike lopende konfigurasie** op dieselfde bladsy waar die konfigurasie vertoon word, nagaan.\
As jy **toegang het tot 'n paar masjiene binne die airflow omgewing**, kyk na die **omgewing**.
Sommige interessante waardes om na te kyk wanneer jy die konfigurasie lêer lees:
### \[api]
- **`access_control_allow_headers`**: Dit dui die **toegelate** **koppe** vir **CORS** aan
- **`access_control_allow_methods`**: Dit dui die **toegelate metodes** vir **CORS** aan
- **`access_control_allow_origins`**: Dit dui die **toegelate oorspronge** vir **CORS** aan
- **`auth_backend`**: [**Volgens die dokumentasie**](https://airflow.apache.org/docs/apache-airflow/stable/security/api.html) kan 'n paar opsies in plek wees om te konfigureer wie toegang tot die API kan hê:
- `airflow.api.auth.backend.deny_all`: **Standaard kan niemand** toegang tot die API hê nie
- `airflow.api.auth.backend.default`: **Enigiemand kan** toegang hê sonder verifikasie
- `airflow.api.auth.backend.kerberos_auth`: Om **kerberos-verifikasie** te konfigureer
- `airflow.api.auth.backend.basic_auth`: Vir **basiese verifikasie**
- `airflow.composer.api.backend.composer_auth`: Gebruik komponiste se verifikasie (GCP) (van [**hier**](https://cloud.google.com/composer/docs/access-airflow-api)).
- `composer_auth_user_registration_role`: Dit dui die **rol** aan wat die **komponiste gebruiker** binne **airflow** sal kry (**Op** standaard).
- Jy kan ook jou eie **verifikasie** metode met python skep.
- **`google_key_path`:** Pad na die **GCP diensrekening sleutel**
### **\[atlas]**
- **`password`**: Atlas wagwoord
- **`username`**: Atlas gebruikersnaam
### \[celery]
- **`flower_basic_auth`** : Kredensiale (_user1:password1,user2:password2_)
- **`result_backend`**: Postgres url wat **kredensiale** kan bevat.
- **`ssl_cacert`**: Pad na die cacert
- **`ssl_cert`**: Pad na die sertifikaat
- **`ssl_key`**: Pad na die sleutel
### \[core]
- **`dag_discovery_safe_mode`**: Geaktiveer deur standaard. Wanneer DAGs ontdek word, ignoreer enige lêers wat nie die strings `DAG` en `airflow` bevat nie.
- **`fernet_key`**: Sleutel om versleutelde veranderlikes te stoor (simmetries)
- **`hide_sensitive_var_conn_fields`**: Geaktiveer deur standaard, verberg sensitiewe inligting van verbindings.
- **`security`**: Watter sekuriteitsmodule om te gebruik (byvoorbeeld kerberos)
### \[dask]
- **`tls_ca`**: Pad na ca
- **`tls_cert`**: Pad na die sertifikaat
- **`tls_key`**: Pad na die tls sleutel
### \[kerberos]
- **`ccache`**: Pad na ccache lêer
- **`forwardable`**: Geaktiveer deur standaard
### \[logging]
- **`google_key_path`**: Pad na GCP JSON kredensiale.
### \[secrets]
- **`backend`**: Volledige klasnaam van die secrets backend om te aktiveer
- **`backend_kwargs`**: Die backend_kwargs parameter word in 'n woordeboek gelaai en aan **init** van die secrets backend klas oorgedra.
### \[smtp]
- **`smtp_password`**: SMTP wagwoord
- **`smtp_user`**: SMTP gebruiker
### \[webserver]
- **`cookie_samesite`**: Standaard is dit **Lax**, so dit is reeds die swakste moontlike waarde
- **`cookie_secure`**: Stel **veilige vlag** op die sessie koekie
- **`expose_config`**: Standaard is dit Vals, as waar, kan die **konfigurasie** **gelees** word vanaf die web **konsol**
- **`expose_stacktrace`**: Standaard is dit Waar, dit sal **python tracebacks** vertoon (potensieel nuttig vir 'n aanvaller)
- **`secret_key`**: Dit is die **sleutel wat deur flask gebruik word om die koekies te teken** (as jy dit het, kan jy **enige gebruiker in Airflow naboots**)
- **`web_server_ssl_cert`**: **Pad** na die **SSL** **sertifikaat**
- **`web_server_ssl_key`**: **Pad** na die **SSL** **Sleutel**
- **`x_frame_enabled`**: Standaard is **Waar**, so klikjacking is nie moontlik nie
### Web Verifikasie
Standaard word **web verifikasie** in die lêer **`webserver_config.py`** gespesifiseer en is geconfigureer as
**Apache Airflow** genereer 'n **konfigurasie lêer** in al die airflow masjiene genaamd **`airflow.cfg`** in die
```bash
AUTH_TYPE = AUTH_DB
```
@@ -96,7 +12,7 @@ Wat beteken dat die **authentisering teen die databasis nagegaan word**. egter,
```bash
AUTH_TYPE = AUTH_OAUTH
```
Om die **verifikasie aan derdeparty-dienste** oor te laat.
Om die **authentisering aan derdeparty dienste** oor te laat.
Daar is egter ook 'n opsie om **anonieme gebruikers toegang** te gee, deur die volgende parameter op die **gewenste rol** in te stel:
```bash