gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-31 23:15:48 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:59:03 +00:00
parent 7770a50092
commit 730ef05579
244 changed files with 8718 additions and 11559 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/ibm-cloud-pentesting/README.md
View File

@@ -4,20 +4,20 @@
{{#include ../../banners/hacktricks-training.md}}
### What is IBM cloud? (By chatGPT)
### Qu'est-ce qu'IBM Cloud ? (Par chatGPT)
IBM Cloud, a cloud computing platform by IBM, offers a variety of cloud services such as infrastructure as a service (IaaS), platform as a service (PaaS), and software as a service (SaaS). It enables clients to deploy and manage applications, handle data storage and analysis, and operate virtual machines in the cloud.
IBM Cloud, une plateforme de cloud computing d'IBM, offre une variété de services cloud tels que l'infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS). Elle permet aux clients de déployer et de gérer des applications, de gérer le stockage et l'analyse des données, et d'exécuter des machines virtuelles dans le cloud.
When compared with Amazon Web Services (AWS), IBM Cloud showcases certain distinct features and approaches:
Comparé à Amazon Web Services (AWS), IBM Cloud présente certaines caractéristiques et approches distinctes :
1. **Focus**: IBM Cloud primarily caters to enterprise clients, providing a suite of services designed for their specific needs, including enhanced security and compliance measures. In contrast, AWS presents a broad spectrum of cloud services for a diverse clientele.
2. **Hybrid Cloud Solutions**: Both IBM Cloud and AWS offer hybrid cloud services, allowing integration of on-premises infrastructure with their cloud services. However, the methodology and services provided by each differ.
3. **Artificial Intelligence and Machine Learning (AI & ML)**: IBM Cloud is particularly noted for its extensive and integrated services in AI and ML. AWS also offers AI and ML services, but IBM's solutions are considered more comprehensive and deeply embedded within its cloud platform.
4. **Industry-Specific Solutions**: IBM Cloud is recognized for its focus on particular industries like financial services, healthcare, and government, offering bespoke solutions. AWS caters to a wide array of industries but might not have the same depth in industry-specific solutions as IBM Cloud.
1. **Focus** : IBM Cloud s'adresse principalement aux clients d'entreprise, offrant une suite de services conçus pour leurs besoins spécifiques, y compris des mesures de sécurité et de conformité renforcées. En revanche, AWS propose un large éventail de services cloud pour une clientèle diversifiée.
2. **Solutions de Cloud Hybride** : IBM Cloud et AWS offrent tous deux des services de cloud hybride, permettant l'intégration de l'infrastructure sur site avec leurs services cloud. Cependant, la méthodologie et les services fournis par chacun diffèrent.
3. **Intelligence Artificielle et Apprentissage Automatique (IA & AA)** : IBM Cloud est particulièrement reconnu pour ses services étendus et intégrés en IA et AA. AWS propose également des services d'IA et d'AA, mais les solutions d'IBM sont considérées comme plus complètes et profondément intégrées dans sa plateforme cloud.
4. **Solutions Spécifiques à l'Industrie** : IBM Cloud est reconnu pour son attention portée à des industries particulières comme les services financiers, la santé et le gouvernement, offrant des solutions sur mesure. AWS s'adresse à un large éventail d'industries mais pourrait ne pas avoir la même profondeur dans les solutions spécifiques à l'industrie qu'IBM Cloud.
#### Basic Information
#### Informations de Base
For some basic information about IAM and hierarchi check:
Pour quelques informations de base sur IAM et la hiérarchie, consultez :
{{#ref}}
ibm-basic-information.md
@@ -25,18 +25,14 @@ ibm-basic-information.md
### SSRF
Learn how you can access the medata endpoint of IBM in the following page:
Découvrez comment vous pouvez accéder au point de terminaison medata d'IBM à la page suivante :
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#2af0
{{#endref}}
## References
## Références
- [https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/#:\~:text=IBM%20Cloud%20is%3A,%2C%20networking%2C%20and%20database%20management.](https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/)
{{#include ../../banners/hacktricks-training.md}}

70
src/pentesting-cloud/ibm-cloud-pentesting/ibm-basic-information.md
View File

@@ -1,14 +1,14 @@
# IBM - Basic Information
# IBM - Informations de base
{{#include ../../banners/hacktricks-training.md}}
## Hierarchy
## Hiérarchie
IBM Cloud resource model ([from the docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Modèle de ressources IBM Cloud ([des docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
<figure><img src="../../images/image (225).png" alt=""><figcaption></figcaption></figure>
Recommended way to divide projects:
Méthode recommandée pour diviser les projets :
<figure><img src="../../images/image (239).png" alt=""><figcaption></figcaption></figure>
@@ -16,61 +16,57 @@ Recommended way to divide projects:
<figure><img src="../../images/image (266).png" alt=""><figcaption></figcaption></figure>
### Users
### Utilisateurs
Users have an **email** assigned to them. They can access the **IBM console** and also **generate API keys** to use their permissions programatically.\
**Permissions** can be granted **directly** to the user with an access policy or via an **access group**.
Les utilisateurs ont un **email** qui leur est attribué. Ils peuvent accéder à la **console IBM** et également **générer des clés API** pour utiliser leurs autorisations de manière programmatique.\
**Les autorisations** peuvent être accordées **directement** à l'utilisateur avec une politique d'accès ou via un **groupe d'accès**.
### Trusted Profiles
### Profils de confiance
These are **like the Roles of AWS** or service accounts from GCP. It's possible to **assign them to VM** instances and access their **credentials via metadata**, or even **allow Identity Providers** to use them in order to authenticate users from external platforms.\
**Permissions** can be granted **directly** to the trusted profile with an access policy or via an **access group**.
Ce sont **comme les Rôles d'AWS** ou les comptes de service de GCP. Il est possible de **les attribuer aux instances VM** et d'accéder à leurs **identifiants via les métadonnées**, ou même **permettre aux Fournisseurs d'Identité** de les utiliser pour authentifier des utilisateurs provenant de plateformes externes.\
**Les autorisations** peuvent être accordées **directement** au profil de confiance avec une politique d'accès ou via un **groupe d'accès**.
### Service IDs
### Identifiants de service
This is another option to allow applications to **interact with IBM cloud** and perform actions. In this case, instead of assign it to a VM or Identity Provider an **API Key can be used** to interact with IBM in a **programatic** way.\
**Permissions** can be granted **directly** to the service id with an access policy or via an **access group**.
C'est une autre option pour permettre aux applications de **interagir avec IBM cloud** et d'effectuer des actions. Dans ce cas, au lieu de l'attribuer à une VM ou à un Fournisseur d'Identité, une **clé API peut être utilisée** pour interagir avec IBM de manière **programmatique**.\
**Les autorisations** peuvent être accordées **directement** à l'identifiant de service avec une politique d'accès ou via un **groupe d'accès**.
### Identity Providers
### Fournisseurs d'identité
External **Identity Providers** can be configured to **access IBM cloud** resources from external platforms by accessing **trusting Trusted Profiles**.
Des **Fournisseurs d'Identité** externes peuvent être configurés pour **accéder aux ressources IBM cloud** depuis des plateformes externes en accédant à **des Profils de confiance**.
### Access Groups
### Groupes d'accès
In the same access group **several users, trusted profiles & service ids** can be present. Each principal in the access group will **inherit the access group permissions**.\
**Permissions** can be granted **directly** to the trusted profile with an access policy.\
An **access group cannot be a member** of another access group.
Dans le même groupe d'accès, **plusieurs utilisateurs, profils de confiance et identifiants de service** peuvent être présents. Chaque principal dans le groupe d'accès **héritera des autorisations du groupe d'accès**.\
**Les autorisations** peuvent être accordées **directement** au profil de confiance avec une politique d'accès.\
Un **groupe d'accès ne peut pas être membre** d'un autre groupe d'accès.
### Roles
### Rôles
A role is a **set of granular permissions**. **A role** is dedicated to **a service**, meaning that it will only contain permissions of that service.\
**Each service** of IAM will already have some **possible roles** to choose from to **grant a principal access to that service**: **Viewer, Operator, Editor, Administrator** (although there could be more).
Un rôle est un **ensemble d'autorisations granulaires**. **Un rôle** est dédié à **un service**, ce qui signifie qu'il ne contiendra que des autorisations de ce service.\
**Chaque service** de l'IAM aura déjà quelques **rôles possibles** parmi lesquels choisir pour **accorder un accès à un principal à ce service** : **Visionneuse, Opérateur, Éditeur, Administrateur** (bien qu'il puisse y en avoir d'autres).
Role permissions are given via access policies to principals, so if you need to give for example a **combination of permissions** of a service of **Viewer** and **Administrator**, instead of giving those 2 (and overprivilege a principal), you can **create a new role** for the service and give that new role the **granular permissions you need**.
Les autorisations de rôle sont données via des politiques d'accès aux principaux, donc si vous devez donner par exemple une **combinaison d'autorisations** d'un service de **Visionneuse** et **Administrateur**, au lieu de donner ces 2 (et de surcharger un principal), vous pouvez **créer un nouveau rôle** pour le service et donner à ce nouveau rôle les **autorisations granulaires dont vous avez besoin**.
### Access Policies
### Politiques d'accès
Access policies allows to **attach 1 or more roles of 1 service to 1 principal**.\
When creating the policy you need to choose:
Les politiques d'accès permettent de **joindre 1 ou plusieurs rôles d'un service à 1 principal**.\
Lors de la création de la politique, vous devez choisir :
- The **service** where permissions will be granted
- **Affected resources**
- Service & Platform **access** that will be granted
- These indicate the **permissions** that will be given to the principal to perform actions. If any **custom role** is created in the service you will also be able to choose it here.
- **Conditions** (if any) to grant the permissions
- Le **service** où les autorisations seront accordées
- **Ressources concernées**
- Accès au service et à la plateforme **qui sera accordé**
- Cela indique les **autorisations** qui seront données au principal pour effectuer des actions. Si un **rôle personnalisé** est créé dans le service, vous pourrez également le choisir ici.
- **Conditions** (le cas échéant) pour accorder les autorisations
> [!NOTE]
> To grant access to several services to a user, you can generate several access policies
> Pour accorder l'accès à plusieurs services à un utilisateur, vous pouvez générer plusieurs politiques d'accès
<figure><img src="../../images/image (248).png" alt=""><figcaption></figcaption></figure>
## References
## Références
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-crypto-services.md
View File

@@ -2,32 +2,28 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informations de base
IBM Hyper Protect Crypto Services is a cloud service that provides **highly secure and tamper-resistant cryptographic key management and encryption capabilities**. It is designed to help organizations protect their sensitive data and comply with security and privacy regulations such as GDPR, HIPAA, and PCI DSS.
IBM Hyper Protect Crypto Services est un service cloud qui fournit **une gestion des clés cryptographiques et des capacités de chiffrement hautement sécurisées et résistantes à la falsification**. Il est conçu pour aider les organisations à protéger leurs données sensibles et à se conformer aux réglementations de sécurité et de confidentialité telles que le RGPD, HIPAA et PCI DSS.
Hyper Protect Crypto Services uses **FIPS 140-2 Level 4 certified hardware security modules** (HSMs) to store and protect cryptographic keys. These HSMs are designed to r**esist physical tampering** and provide high levels of **security against cyber attacks**.
Hyper Protect Crypto Services utilise des **modules de sécurité matériels certifiés FIPS 140-2 Niveau 4** (HSM) pour stocker et protéger les clés cryptographiques. Ces HSM sont conçus pour **résister à la falsification physique** et fournir des niveaux élevés de **sécurité contre les cyberattaques**.
The service provides a range of cryptographic services, including key generation, key management, digital signature, encryption, and decryption. It supports industry-standard cryptographic algorithms such as AES, RSA, and ECC, and can be integrated with a variety of applications and services.
Le service propose une gamme de services cryptographiques, y compris la génération de clés, la gestion des clés, la signature numérique, le chiffrement et le déchiffrement. Il prend en charge des algorithmes cryptographiques standard de l'industrie tels que AES, RSA et ECC, et peut être intégré à une variété d'applications et de services.
### What is a Hardware Security Module
### Qu'est-ce qu'un module de sécurité matériel
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Un module de sécurité matériel (HSM) est un dispositif cryptographique dédié utilisé pour générer, stocker et gérer des clés cryptographiques et protéger des données sensibles. Il est conçu pour fournir un niveau élevé de sécurité en isolant physiquement et électroniquement les fonctions cryptographiques du reste du système.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
Le fonctionnement d'un HSM peut varier en fonction du modèle et du fabricant spécifiques, mais généralement, les étapes suivantes se produisent :
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Génération de clés** : Le HSM génère une clé cryptographique aléatoire à l'aide d'un générateur de nombres aléatoires sécurisé.
2. **Stockage de clés** : La clé est **stockée en toute sécurité dans le HSM, où elle ne peut être accessible que par des utilisateurs ou des processus autorisés**.
3. **Gestion des clés** : Le HSM fournit une gamme de fonctions de gestion des clés, y compris la rotation des clés, la sauvegarde et la révocation.
4. **Opérations cryptographiques** : Le HSM effectue une gamme d'opérations cryptographiques, y compris le chiffrement, le déchiffrement, la signature numérique et l'échange de clés. Ces opérations sont **effectuées dans l'environnement sécurisé du HSM**, ce qui protège contre l'accès non autorisé et la falsification.
5. **Journalisation des audits** : Le HSM enregistre toutes les opérations cryptographiques et les tentatives d'accès, qui peuvent être utilisées à des fins de conformité et d'audit de sécurité.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
Les HSM peuvent être utilisés pour une large gamme d'applications, y compris les transactions en ligne sécurisées, les certificats numériques, les communications sécurisées et le chiffrement des données. Ils sont souvent utilisés dans des secteurs qui nécessitent un niveau élevé de sécurité, tels que la finance, la santé et le gouvernement.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
Dans l'ensemble, le niveau élevé de sécurité fourni par les HSM rend **très difficile l'extraction de clés brutes, et tenter de le faire est souvent considéré comme une violation de la sécurité**. Cependant, il peut y avoir **certaines situations** où une **clé brute pourrait être extraite** par du personnel autorisé à des fins spécifiques, comme dans le cas d'une procédure de récupération de clé.
{{#include ../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-virtual-server.md
View File

@@ -2,45 +2,41 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informations de base
Hyper Protect Virtual Server is a **virtual server** offering from IBM that is designed to provide a **high level of security and compliance** for sensitive workloads. It runs on **IBM Z and LinuxONE hardware**, which are designed for high levels of security and scalability.
Hyper Protect Virtual Server est une **offre de serveur virtuel** d'IBM conçue pour fournir un **haut niveau de sécurité et de conformité** pour les charges de travail sensibles. Il fonctionne sur du **matériel IBM Z et LinuxONE**, qui sont conçus pour des niveaux élevés de sécurité et d'évolutivité.
Hyper Protect Virtual Server uses **advanced security features** such as secure boot, encrypted memory, and tamper-proof virtualization to protect sensitive data and applications. It also provides a **secure execution environment that isolates each workload from other workloads** running on the same system.
Hyper Protect Virtual Server utilise des **fonctionnalités de sécurité avancées** telles que le démarrage sécurisé, la mémoire chiffrée et la virtualisation inviolable pour protéger les données et les applications sensibles. Il fournit également un **environnement d'exécution sécurisé qui isole chaque charge de travail des autres charges de travail** s'exécutant sur le même système.
This virtual server offering is designed for workloads that require the highest levels of security and compliance, such as financial services, healthcare, and government. It allows organizations to run their sensitive workloads in a virtual environment while still meeting strict security and compliance requirements.
Cette offre de serveur virtuel est conçue pour des charges de travail nécessitant les niveaux les plus élevés de sécurité et de conformité, tels que les services financiers, la santé et le gouvernement. Elle permet aux organisations d'exécuter leurs charges de travail sensibles dans un environnement virtuel tout en respectant des exigences strictes en matière de sécurité et de conformité.
### Metadata & VPC
### Métadonnées et VPC
When you run a server like this one from the IBM service called "Hyper Protect Virtual Server" it **won't** allow you to configure **access to metadata,** link any **trusted profile**, use **user data**, or even a **VPC** to place the server in.
Lorsque vous exécutez un serveur comme celui-ci à partir du service IBM appelé "Hyper Protect Virtual Server", il **ne vous permettra pas** de configurer **l'accès aux métadonnées**, de lier un **profil de confiance**, d'utiliser **des données utilisateur**, ou même un **VPC** pour placer le serveur.
However, it's possible to **run a VM in a IBM Z linuxONE hardware** from the service "**Virtual server for VPC**" which will allow you to **set those configs** (metadata, trusted profiles, VPC...).
Cependant, il est possible d'**exécuter une VM sur un matériel IBM Z linuxONE** à partir du service "**Serveur virtuel pour VPC**", ce qui vous permettra de **définir ces configurations** (métadonnées, profils de confiance, VPC...).
### IBM Z and LinuxONE
### IBM Z et LinuxONE
If you don't understand this terms chatGPT can help you understanding them.
Si vous ne comprenez pas ces termes, chatGPT peut vous aider à les comprendre.
**IBM Z is a family of mainframe computers** developed by IBM. These systems are designed for **high-performance, high-availability, and high-security** enterprise computing. IBM Z is known for its ability to handle large-scale transactions and data processing workloads.
**IBM Z est une famille d'ordinateurs centraux** développée par IBM. Ces systèmes sont conçus pour un **calcul d'entreprise haute performance, haute disponibilité et haute sécurité**. IBM Z est connu pour sa capacité à gérer des transactions à grande échelle et des charges de travail de traitement de données.
**LinuxONE is a line of IBM Z** mainframes that are optimized for **running Linux** workloads. LinuxONE systems support a wide range of open-source software, tools, and applications. They provide a highly secure and scalable platform for running mission-critical workloads such as databases, analytics, and machine learning.
**LinuxONE est une gamme de systèmes IBM Z** optimisés pour **exécuter des charges de travail Linux**. Les systèmes LinuxONE prennent en charge un large éventail de logiciels, d'outils et d'applications open-source. Ils fournissent une plateforme hautement sécurisée et évolutive pour exécuter des charges de travail critiques telles que des bases de données, des analyses et de l'apprentissage automatique.
**LinuxONE** is built on the **same hardware** platform as **IBM Z**, but it is **optimized** for **Linux** workloads. LinuxONE systems support multiple virtual servers, each of which can run its own instance of Linux. These virtual servers are isolated from each other to ensure maximum security and reliability.
**LinuxONE** est construit sur la **même plateforme matérielle** qu'**IBM Z**, mais il est **optimi** pour les **charges de travail Linux**. Les systèmes LinuxONE prennent en charge plusieurs serveurs virtuels, chacun pouvant exécuter sa propre instance de Linux. Ces serveurs virtuels sont isolés les uns des autres pour garantir une sécurité et une fiabilité maximales.
### LinuxONE vs x64
LinuxONE is a family of mainframe computers developed by IBM that are optimized for running Linux workloads. These systems are designed for high levels of security, reliability, scalability, and performance.
LinuxONE est une famille d'ordinateurs centraux développée par IBM qui sont optimisés pour exécuter des charges de travail Linux. Ces systèmes sont conçus pour des niveaux élevés de sécurité, de fiabilité, d'évolutivité et de performance.
Compared to x64 architecture, which is the most common architecture used in servers and personal computers, LinuxONE has some unique advantages. Some of the key differences are:
Comparé à l'architecture x64, qui est l'architecture la plus courante utilisée dans les serveurs et les ordinateurs personnels, LinuxONE présente certains avantages uniques. Voici quelques-unes des principales différences :
1. **Scalability**: LinuxONE can support massive amounts of processing power and memory, which makes it ideal for large-scale workloads.
2. **Security**: LinuxONE has built-in security features that are designed to protect against cyber threats and data breaches. These features include hardware encryption, secure boot, and tamper-proof virtualization.
3. **Reliability**: LinuxONE has built-in redundancy and failover capabilities that help ensure high availability and minimize downtime.
4. **Performance**: LinuxONE can deliver high levels of performance for workloads that require large amounts of processing power, such as big data analytics, machine learning, and AI.
1. **Évolutivité** : LinuxONE peut prendre en charge d'énormes quantités de puissance de traitement et de mémoire, ce qui le rend idéal pour des charges de travail à grande échelle.
2. **Sécurité** : LinuxONE dispose de fonctionnalités de sécurité intégrées conçues pour protéger contre les menaces cybernétiques et les violations de données. Ces fonctionnalités incluent le chiffrement matériel, le démarrage sécurisé et la virtualisation inviolable.
3. **Fiabilité** : LinuxONE dispose de redondance intégrée et de capacités de basculement qui aident à garantir une haute disponibilité et à minimiser les temps d'arrêt.
4. **Performance** : LinuxONE peut offrir des niveaux de performance élevés pour les charges de travail nécessitant de grandes quantités de puissance de traitement, telles que l'analyse de big data, l'apprentissage automatique et l'IA.
Overall, LinuxONE is a powerful and secure platform that is well-suited for running large-scale, mission-critical workloads that require high levels of performance and reliability. While x64 architecture has its own advantages, it may not be able to provide the same level of scalability, security, and reliability as LinuxONE for certain workloads.\\
Dans l'ensemble, LinuxONE est une plateforme puissante et sécurisée qui est bien adaptée pour exécuter des charges de travail critiques à grande échelle nécessitant des niveaux élevés de performance et de fiabilité. Bien que l'architecture x64 ait ses propres avantages, elle peut ne pas être en mesure de fournir le même niveau d'évolutivité, de sécurité et de fiabilité que LinuxONE pour certaines charges de travail.\\
{{#include ../../banners/hacktricks-training.md}}