DO - Βασικές Πληροφορίες

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Βασικές Πληροφορίες

DigitalOcean είναι μια πλατφόρμα υπολογιστικού νέφους που παρέχει στους χρήστες μια ποικιλία υπηρεσιών, συμπεριλαμβανομένων των εικονικών ιδιωτικών διακομιστών (VPS) και άλλων πόρων για την κατασκευή, ανάπτυξη και διαχείριση εφαρμογών. Οι υπηρεσίες της DigitalOcean έχουν σχεδιαστεί για να είναι απλές και εύχρηστες, καθιστώντας τις δημοφιλείς μεταξύ των προγραμματιστών και των μικρών επιχειρήσεων.

Ορισμένα από τα κύρια χαρακτηριστικά της DigitalOcean περιλαμβάνουν:

  • Εικονικοί ιδιωτικοί διακομιστές (VPS): Η DigitalOcean παρέχει VPS που μπορούν να χρησιμοποιηθούν για τη φιλοξενία ιστοσελίδων και εφαρμογών. Αυτοί οι VPS είναι γνωστοί για την απλότητα και την ευχρηστία τους, και μπορούν να αναπτυχθούν γρήγορα και εύκολα χρησιμοποιώντας μια ποικιλία προ-κατασκευασμένων “droplets” ή προσαρμοσμένων ρυθμίσεων.
  • Αποθήκευση: Η DigitalOcean προσφέρει μια σειρά επιλογών αποθήκευσης, συμπεριλαμβανομένης της αποθήκευσης αντικειμένων, της αποθήκευσης μπλοκ και των διαχειριζόμενων βάσεων δεδομένων, που μπορούν να χρησιμοποιηθούν για την αποθήκευση και διαχείριση δεδομένων για ιστοσελίδες και εφαρμογές.
  • Εργαλεία ανάπτυξης και ανάπτυξης: Η DigitalOcean παρέχει μια σειρά εργαλείων που μπορούν να χρησιμοποιηθούν για την κατασκευή, ανάπτυξη και διαχείριση εφαρμογών, συμπεριλαμβανομένων των APIs και των προ-κατασκευασμένων droplets.
  • Ασφάλεια: Η DigitalOcean δίνει μεγάλη έμφαση στην ασφάλεια και προσφέρει μια σειρά εργαλείων και χαρακτηριστικών για να βοηθήσει τους χρήστες να διατηρούν τα δεδομένα και τις εφαρμογές τους ασφαλή. Αυτό περιλαμβάνει κρυπτογράφηση, αντίγραφα ασφαλείας και άλλα μέτρα ασφαλείας.

Συνολικά, η DigitalOcean είναι μια πλατφόρμα υπολογιστικού νέφους που παρέχει στους χρήστες τα εργαλεία και τους πόρους που χρειάζονται για να κατασκευάσουν, αναπτύξουν και διαχειριστούν εφαρμογές στο νέφος. Οι υπηρεσίες της έχουν σχεδιαστεί για να είναι απλές και εύχρηστες, καθιστώντας τις δημοφιλείς μεταξύ των προγραμματιστών και των μικρών επιχειρήσεων.

Κύριες Διαφορές από το AWS

Μία από τις κύριες διαφορές μεταξύ της DigitalOcean και του AWS είναι η ποικιλία υπηρεσιών που προσφέρουν. Η DigitalOcean επικεντρώνεται στην παροχή απλών και εύχρηστων εικονικών ιδιωτικών διακομιστών (VPS), αποθήκευσης και εργαλείων ανάπτυξης και ανάπτυξης. Το AWS, από την άλλη πλευρά, προσφέρει μια πολύ ευρύτερη γκάμα υπηρεσιών, συμπεριλαμβανομένων των VPS, αποθήκευσης, βάσεων δεδομένων, μηχανικής μάθησης, ανάλυσης και πολλών άλλων υπηρεσιών. Αυτό σημαίνει ότι το AWS είναι πιο κατάλληλο για πολύπλοκες, επιχειρηματικού επιπέδου εφαρμογές, ενώ η DigitalOcean είναι πιο κατάλληλη για μικρές επιχειρήσεις και προγραμματιστές.

Μια άλλη βασική διαφορά μεταξύ των δύο πλατφορμών είναι η δομή τιμολόγησης. Η τιμολόγηση της DigitalOcean είναι γενικά πιο απλή και ευκολότερη να κατανοηθεί από αυτή του AWS, με μια σειρά σχεδίων τιμολόγησης που βασίζονται στον αριθμό των droplets και άλλων πόρων που χρησιμοποιούνται. Το AWS, από την άλλη πλευρά, έχει μια πιο περίπλοκη δομή τιμολόγησης που βασίζεται σε μια ποικιλία παραγόντων, συμπεριλαμβανομένου του τύπου και της ποσότητας των πόρων που χρησιμοποιούνται. Αυτό μπορεί να καθιστά πιο δύσκολη την πρόβλεψη του κόστους κατά τη χρήση του AWS.

Ιεραρχία

Χρήστης

Ένας χρήστης είναι αυτό που περιμένετε, ένας χρήστης. Μπορεί να δημιουργήσει Ομάδες και να είναι μέλος διαφόρων ομάδων.

Ομάδα

Μια ομάδα είναι μια ομάδα χρηστών. Όταν ένας χρήστης δημιουργεί μια ομάδα, έχει τον ρόλο του ιδιοκτήτη σε αυτήν την ομάδα και αρχικά ρυθμίζει τις πληροφορίες χρέωσης. Άλλοι χρήστες μπορούν στη συνέχεια να προσκεκληθούν στην ομάδα.

Μέσα στην ομάδα μπορεί να υπάρχουν αρκετά έργα. Ένα έργο είναι απλώς ένα σύνολο υπηρεσιών που εκτελούνται. Μπορεί να χρησιμοποιηθεί για να χωρίσει διαφορετικά στάδια υποδομής, όπως prod, staging, dev…

Έργο

Όπως εξηγήθηκε, ένα έργο είναι απλώς ένα δοχείο για όλες τις υπηρεσίες (droplets, spaces, βάσεις δεδομένων, kubernetes…) που εκτελούνται μαζί μέσα σε αυτό.
Ένα έργο Digital Ocean είναι πολύ παρόμοιο με ένα έργο GCP χωρίς IAM.

Δικαιώματα

Ομάδα

Βασικά, όλα τα μέλη μιας ομάδας έχουν πρόσβαση στους πόρους DO σε όλα τα έργα που έχουν δημιουργηθεί εντός της ομάδας (με περισσότερα ή λιγότερα προνόμια).

Ρόλοι

Κάθε χρήστης μέσα σε μια ομάδα μπορεί να έχει έναν από τους παρακάτω τρεις ρόλους μέσα σε αυτήν:

ΡόλοςΚοινόχρηστοι ΠόροιΠληροφορίες ΧρέωσηςΡυθμίσεις Ομάδας
ΙδιοκτήτηςΠλήρης πρόσβασηΠλήρης πρόσβασηΠλήρης πρόσβαση
ΧρεωστικόςΚαμία πρόσβασηΠλήρης πρόσβασηΚαμία πρόσβαση
ΜέλοςΠλήρης πρόσβασηΚαμία πρόσβασηΚαμία πρόσβαση

Ο Ιδιοκτήτης και το μέλος μπορούν να καταγράψουν τους χρήστες και να ελέγξουν τους ρόλους τους (ο χρεωστικός δεν μπορεί).

Πρόσβαση

Όνομα χρήστη + κωδικός πρόσβασης (MFA)

Όπως στις περισσότερες πλατφόρμες, για να αποκτήσετε πρόσβαση στο GUI μπορείτε να χρησιμοποιήσετε ένα σύνολο έγκυρων ονομάτων χρήστη και κωδικών πρόσβασης για να έχετε πρόσβαση στους πόρους του νέφους. Μόλις συνδεθείτε, μπορείτε να δείτε όλες τις ομάδες στις οποίες είστε μέλος στο https://cloud.digitalocean.com/account/profile.
Και μπορείτε να δείτε όλη τη δραστηριότητά σας στο https://cloud.digitalocean.com/account/activity.

MFA μπορεί να ενεργοποιηθεί σε έναν χρήστη και να επιβληθεί για όλους τους χρήστες σε μια ομάδα για να αποκτήσουν πρόσβαση στην ομάδα.

Κλειδιά API

Για να χρησιμοποιήσουν το API, οι χρήστες μπορούν να δημιουργήσουν κλειδιά API. Αυτά θα έχουν πάντα δικαιώματα ανάγνωσης, αλλά τα δικαιώματα εγγραφής είναι προαιρετικά.
Τα κλειδιά API μοιάζουν με αυτό:

dop_v1_1946a92309d6240274519275875bb3cb03c1695f60d47eaa1532916502361836

Το εργαλείο cli είναι doctl. Αρχικοποιήστε το (χρειάζεστε ένα token) με:

doctl auth init # Asks for the token
doctl auth init --context my-context # Login with a different token
doctl auth list # List accounts

Από προεπιλογή, αυτό το token θα γραφτεί σε καθαρό κείμενο σε Mac στο /Users/<username>/Library/Application Support/doctl/config.yaml.

Κλειδιά πρόσβασης Spaces

Αυτά είναι τα κλειδιά που δίνουν πρόσβαση στα Spaces (όπως το S3 στο AWS ή το Storage στο GCP).

Αποτελούνται από ένα όνομα, ένα keyid και ένα secret. Ένα παράδειγμα θα μπορούσε να είναι:

Name: key-example
Keyid: DO00ZW4FABSGZHAABGFX
Secret: 2JJ0CcQZ56qeFzAJ5GFUeeR4Dckarsh6EQSLm87MKlM

OAuth Εφαρμογή

Οι εφαρμογές OAuth μπορούν να αποκτήσουν πρόσβαση μέσω του Digital Ocean.

Είναι δυνατόν να δημιουργήσετε εφαρμογές OAuth στο https://cloud.digitalocean.com/account/api/applications και να ελέγξετε όλες τις επιτρεπόμενες εφαρμογές OAuth στο https://cloud.digitalocean.com/account/api/access.

Κλειδιά SSH

Είναι δυνατόν να προσθέσετε κλειδιά SSH σε μια ομάδα Digital Ocean από την κονσόλα στο https://cloud.digitalocean.com/account/security.

Με αυτόν τον τρόπο, αν δημιουργήσετε ένα νέο droplet, το κλειδί SSH θα ρυθμιστεί σε αυτό και θα μπορείτε να συνδεθείτε μέσω SSH χωρίς κωδικό (σημειώστε ότι τα νεο ανεβασμένα κλειδιά SSH δεν ρυθμίζονται σε ήδη υπάρχοντα droplets για λόγους ασφαλείας).

Token Αυθεντικοποίησης Λειτουργιών

Ο τρόπος για να ενεργοποιήσετε μια λειτουργία μέσω REST API (πάντα ενεργοποιημένο, είναι η μέθοδος που χρησιμοποιεί το cli) είναι με την ενεργοποίηση ενός αιτήματος με ένα token αυθεντικοποίησης όπως:

curl -X POST "https://faas-lon1-129376a7.doserverless.co/api/v1/namespaces/fn-c100c012-65bf-4040-1230-2183764b7c23/actions/functionname?blocking=true&result=true" \
-H "Content-Type: application/json" \
-H "Authorization: Basic MGU0NTczZGQtNjNiYS00MjZlLWI2YjctODk0N2MyYTA2NGQ4OkhwVEllQ2t4djNZN2x6YjJiRmFGc1FERXBySVlWa1lEbUxtRE1aRTludXA1UUNlU2VpV0ZGNjNqWnVhYVdrTFg="

Logs

User logs

Τα αρχεία ενός χρήστη μπορούν να βρεθούν στο https://cloud.digitalocean.com/account/activity

Team logs

Τα αρχεία μιας ομάδας μπορούν να βρεθούν στο https://cloud.digitalocean.com/account/security

References

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks