gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-15 14:23:16 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

Browse Source
This commit is contained in:
Translator
2025-02-17 12:02:43 +00:00
parent 0a71260ba5
commit d55558d20e
16 changed files with 451 additions and 357 deletions
Download Patch File Download Diff File Expand all files Collapse all files

38
src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md
View File

@@ -4,43 +4,43 @@
## Basic Information
Google Cloud Compute Instances is **pasgemaakte virtuele masjiene op Google se wolkinfrastruktuur**, wat skaalbare en op aanvraag rekenkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied funksies soos globale ontplooiing, volhoubare berging, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, verwerking van data, en doeltreffende uitvoering van toepassings in die wolk.
Google Cloud Compute Instances is **pasgemaakte virtuele masjiene op Google se wolkinfrastruktuur**, wat skaalbare en op aanvraag rekenaarkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied funksies soos globale ontplooiing, volhoubare berging, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, verwerking van data, en doeltreffende uitvoering van toepassings in die wolk.
### Confidential VM
Confidential VMs gebruik **hardeware-gebaseerde sekuriteitskenmerke** wat aangebied word deur die nuutste generasie van AMD EPYC verwerkers, wat geheue-enkripsie en veilige geënkripteerde virtualisering insluit. Hierdie kenmerke stel die VM in staat om die data wat verwerk en gestoor word binne dit te beskerm teen selfs die gasheerbedryfstelsel en hypervisor.
Confidential VMs gebruik **hardeware-gebaseerde sekuriteitskenmerke** wat aangebied word deur die nuutste generasie van AMD EPYC verwerkers, wat geheue-enkripsie en veilige geënkripteerde virtualisering insluit. Hierdie kenmerke stel die VM in staat om die data wat verwerk en gestoor word binne-in dit te beskerm teen selfs die gasheerbedryfstelsel en hypervisor.
Om 'n Confidential VM te laat loop, mag dit nodig wees om **dinge** soos die **tipe** van die **masjien**, netwerk **koppelvlak**, **opstartskyfbeeld** te **verander**.
Om 'n Confidential VM te laat loop, mag dit nodig wees om **te verander** dinge soos die **tipe** van die **masjien**, netwerk **koppelvlak**, **opstartskyfbeeld**.
### Disk & Disk Encryption
Dit is moontlik om die **skyf** te **kies** om te gebruik of **'n nuwe een te skep**. As jy 'n nuwe een kies, kan jy:
Dit is moontlik om die **skyf** te kies om te gebruik of **'n nuwe een te skep**. As jy 'n nuwe een kies, kan jy:
- Die **grootte** van die skyf kies
- Die **OS** kies
- Aangee of jy die **skyf wil verwyder wanneer die instansie verwyder word**
- **Enkripsie**: Deur **verstek** sal 'n **Google bestuurde sleutel** gebruik word, maar jy kan ook 'n sleutel van KMS **kies** of 'n **rauwe sleutel om te gebruik** aandui.
- **Enkripsie**: Deur **verstek** sal 'n **Google bestuurde sleutel** gebruik word, maar jy kan ook **'n sleutel van KMS kies** of 'n **rawe sleutel om te gebruik** aandui.
### Deploy Container
Dit is moontlik om 'n **houer** binne die virtuele masjien te ontplooi.\
Dit is moontlik om die **beeld** te konfigureer om te gebruik, die **opdrag** in te stel om binne te loop, **argumente**, 'n **volume** te monteer, en **omgewingsveranderlikes** (sensitiewe inligting?) en verskeie opsies vir hierdie houer te konfigureer soos om as **privilegied** uit te voer, stdin en pseudo TTY.
Dit is moontlik om die **beeld** te konfigureer om te gebruik, die **opdrag** in te stel om binne-in te loop, **argumente**, 'n **volume** te monteer, en **omgewingsveranderlikes** (sensitiewe inligting?) en verskeie opsies vir hierdie houer te konfigureer soos om as **bevoorregte** uit te voer, stdin en pseudo TTY.
### Service Account
Deur die standaard sal die **Compute Engine standaard diensrekening** gebruik word. Die e-pos van hierdie SA is soos: `<proj-num>-compute@developer.gserviceaccount.com`\
Deur verstek sal die **Compute Engine standaard diensrekening** gebruik word. Die e-pos van hierdie SA is soos: `<proj-num>-compute@developer.gserviceaccount.com`\
Hierdie diensrekening het **Redigeerder rol oor die hele projek (hoë voorregte).**
En die **standaard toegangskope** is die volgende:
- **https://www.googleapis.com/auth/devstorage.read\_only** -- Lees toegang tot emmers :)
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/trace.append
- [https://www.googleapis.com/auth/logging.write](https://www.googleapis.com/auth/logging.write)
- [https://www.googleapis.com/auth/monitoring.write](https://www.googleapis.com/auth/monitoring.write)
- [https://www.googleapis.com/auth/servicecontrol](https://www.googleapis.com/auth/servicecontrol)
- [https://www.googleapis.com/auth/service.management.readonly](https://www.googleapis.com/auth/service.management.readonly)
- [https://www.googleapis.com/auth/trace.append](https://www.googleapis.com/auth/trace.append)
Dit is egter moontlik om dit **`cloud-platform` met 'n klik toe te ken** of **aangepaste** te spesifiseer.
Dit is egter moontlik om **dit `cloud-platform` met 'n klik toe te ken** of **aangepaste** te spesifiseer.
<figure><img src="../../../../images/image (327).png" alt=""><figcaption></figcaption></figure>
@@ -52,13 +52,13 @@ Dit is moontlik om HTTP en HTTPS verkeer toe te laat.
### Networking
- **IP Forwarding**: Dit is moontlik om **IP forwarding** vanaf die skepping van die instansie in te skakel.
- **IP Forwarding**: Dit is moontlik om **IP forwarding in te skakel** vanaf die skepping van die instansie.
- **Hostname**: Dit is moontlik om die instansie 'n permanente hostname te gee.
- **Interface**: Dit is moontlik om 'n netwerk koppelvlak by te voeg.
### Extra Security
Hierdie opsies sal **die sekuriteit** van die VM **verhoog** en word aanbeveel:
Hierdie opsies sal **die sekuriteit** van die VM verhoog en word aanbeveel:
- **Secure boot:** Secure boot help om jou VM instansies teen opstart- en kernvlak malware en rootkits te beskerm.
- **Enable vTPM:** Virtual Trusted Platform Module (vTPM) valideer jou gas VM se pre-boot en boot integriteit, en bied sleutelgenerasie en beskerming.
@@ -67,16 +67,16 @@ Hierdie opsies sal **die sekuriteit** van die VM **verhoog** en word aanbeveel:
### VM Access
Die algemene manier om toegang tot die VM te aktiveer, is deur **sekere SSH publieke sleutels** toe te laat om toegang tot die VM te verkry.\
Dit is egter ook moontlik om **die toegang tot die VM via `os-config` diens met IAM** te aktiveer. Boonop is dit moontlik om 2FA te aktiveer om toegang tot die VM te verkry met behulp van hierdie diens.\
Dit is egter ook moontlik om **die toegang tot die VM via `os-config` diens met IAM te aktiveer**. Boonop is dit moontlik om 2FA te aktiveer om toegang tot die VM te verkry met hierdie diens.\
Wanneer hierdie **diens** geaktiveer is, is die toegang via **SSH sleutels gedeaktiveer.**
<figure><img src="../../../../images/image (328).png" alt=""><figcaption></figcaption></figure>
### Metadata
Dit is moontlik om **automatisering** (userdata in AWS) te definieer wat **shell-opdragte** is wat elke keer uitgevoer sal word wanneer die masjien aanskakel of herbegin.
Dit is moontlik om **outomatisering** (userdata in AWS) te definieer wat **skulpopdragte** is wat elke keer uitgevoer sal word wanneer die masjien aanskakel of herbegin.
Dit is ook moontlik om **bykomende metadata sleutel-waarde waardes** toe te voeg wat vanaf die metadata eindpunt toeganklik gaan wees. Hierdie inligting word algemeen gebruik vir omgewingsveranderlikes en opstart/afskakel skripte. Dit kan verkry word met behulp van die **`describe` metode** van 'n opdrag in die enumerasie afdeling, maar dit kan ook van binne die instansie verkry word deur die metadata eindpunt te benader.
Dit is ook moontlik om **bykomende metadata sleutel-waarde waardes** by te voeg wat vanaf die metadata eindpunt toeganklik gaan wees. Hierdie inligting word algemeen gebruik vir omgewingsveranderlikes en opstart/afskakel skripte. Dit kan verkry word met behulp van die **`describe` metode** van 'n opdrag in die enumerasie afdeling, maar dit kan ook van binne die instansie verkry word deur die metadata eindpunt te benader.
```bash
# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
@@ -94,7 +94,7 @@ https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/
### Enkripsie
'n Google-beheerde enkripsiesleutel word standaard gebruik, maar 'n Klant-beheerde enkripsiesleutel (CMEK) kan gekonfigureer word. Jy kan ook konfigureer wat om te doen wanneer die gebruikte CMEF herroep word: Noting of die VM afsluit.
'n Google-beheerde enkripsiesleutel word standaard gebruik, maar 'n Klant-beheerde enkripsiesleutel (CMEK) kan gekonfigureer word. Jy kan ook konfigureer wat om te doen wanneer die gebruikte CMEK herroep word: Noting of die VM afsluit.
<figure><img src="../../../../images/image (329).png" alt=""><figcaption></figcaption></figure>