Годная CTF от WIZ – The Cloud Hunting Games CTF. Здесь вам нужно расследовать инцидент в облаке. Задания базируются на распространенных TTP злоумышленников in the wild.
Попробовать порешать можно тут
👉 DevOps Portal
Попробовать порешать можно тут
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3
Быстрая заметка по k8s
только что выяснил, что можно настраивать лимиты пропускной способности для пода или деплоймента. по умолчанию фича лимитирования выключена. но можно контролировать входящую и исходящую пропускную способность пода через аннотации Kubernetes, примерно так
кстати, M – это Mbps, G – это Gbps
👉 DevOps Portal
только что выяснил, что можно настраивать лимиты пропускной способности для пода или деплоймента. по умолчанию фича лимитирования выключена. но можно контролировать входящую и исходящую пропускную способность пода через аннотации Kubernetes, примерно так
кстати, M – это Mbps, G – это Gbps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🤔1
В статье A Practical Approach to Keycloak Token Exchange: Converting External Tokens for Internal Use with Kubernetes and Istio рассматривается подход к настройке обмена токенами Keycloak в Kubernetes с помощью Istio.
Автор показывает как сконфигурировать CRD ресурс EnvoyFilter, в котором будет заложена Token Exchange Logic:
- Extract Authorization Header
- Make HTTP Call to Keycloak
- Inject Internal Token
👉 DevOps Portal
Автор показывает как сконфигурировать CRD ресурс EnvoyFilter, в котором будет заложена Token Exchange Logic:
- Extract Authorization Header
- Make HTTP Call to Keycloak
- Inject Internal Token
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4🔥2
Не забудьте создать и использовать непривилегированного (non-root) пользователя в вашем Dockerfile.
Это одно из тех небольших изменений, которые тихо делают всю конфигурацию контейнера более безопасной. По умолчанию контейнеры запускаются от root, вроде бы безобидно, пока не осознаёшь, что одна уязвимость в приложении может дать атакующему root-доступ внутри контейнера.
Это не ломает хост мгновенно, но предоставляет достаточно возможностей, чтобы нанести ущерб через writable-маунты, некорректные права доступа или баги, позволяющие вырваться за пределы контейнера.
Переход на non-root пользователя ограничивает доступ запущенного процесса, снижает потенциальный ущерб от любой эксплуатации и заставляет соблюдать более аккуратную гигиену с владением файлами и разрешениями
👉 DevOps Portal
Это одно из тех небольших изменений, которые тихо делают всю конфигурацию контейнера более безопасной. По умолчанию контейнеры запускаются от root, вроде бы безобидно, пока не осознаёшь, что одна уязвимость в приложении может дать атакующему root-доступ внутри контейнера.
Это не ломает хост мгновенно, но предоставляет достаточно возможностей, чтобы нанести ущерб через writable-маунты, некорректные права доступа или баги, позволяющие вырваться за пределы контейнера.
Переход на non-root пользователя ограничивает доступ запущенного процесса, снижает потенциальный ущерб от любой эксплуатации и заставляет соблюдать более аккуратную гигиену с владением файлами и разрешениями
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤5
This media is not supported in your browser
VIEW IN TELEGRAM
Сегодня разбирается классическая задача распределённых систем: как надёжно стримить логи с нескольких реплик в хронологическом порядке?
Удивительно, но ни один из популярных контейнерных тулов этого не делает.
🙃
Чтобы сделать это правильно, нельзя просто сразу печатать строку лога: более медленный поток может прислать запись с более ранним таймстампом. Нужно понять, когда её печатать безопасно.
Для новой команды
1. Low watermark
Трекать минимальный timestamp среди всех лог-стримов и безопасно печатать буферизированные логи с таймстампами ниже этой метки.
2. Heartbeat-таймстампы
Что если контейнер замолчит? Весь поток залипнет, потому что watermark больше не будет сдвигаться.
Решение: периодически отправлять пустые heartbeat-записи с текущим timestamp от серверов. Это своего рода обещание: «У меня нет логов старше этого».
Это позволяет клиенту продвигать watermark сразу, не блокируя вывод. Интервал в 500 мс – 1 с работает хорошо на практике.
Что насчёт несинхронизированных часов?
Много тут не сделать, если не плодить лишнюю сложность. Просто детектируйте ситуацию, предупредите пользователя, и на этом всё.
👉 DevOps Portal
Удивительно, но ни один из популярных контейнерных тулов этого не делает.
docker service logs, kubectl logs, stern, kubetail, k9s — все они просто перемешивают потоки по мере поступления. Стандартный костыль – прогонять вывод через | sort Чтобы сделать это правильно, нельзя просто сразу печатать строку лога: более медленный поток может прислать запись с более ранним таймстампом. Нужно понять, когда её печатать безопасно.
Для новой команды
uc logs используется следующий подход:1. Low watermark
Трекать минимальный timestamp среди всех лог-стримов и безопасно печатать буферизированные логи с таймстампами ниже этой метки.
watermark = min(latest_timestamp for each stream)
sort and print all buffered logs where timestamp < watermark
2. Heartbeat-таймстампы
Что если контейнер замолчит? Весь поток залипнет, потому что watermark больше не будет сдвигаться.
Решение: периодически отправлять пустые heartbeat-записи с текущим timestamp от серверов. Это своего рода обещание: «У меня нет логов старше этого».
Это позволяет клиенту продвигать watermark сразу, не блокируя вывод. Интервал в 500 мс – 1 с работает хорошо на практике.
Что насчёт несинхронизированных часов?
Много тут не сделать, если не плодить лишнюю сложность. Просто детектируйте ситуацию, предупредите пользователя, и на этом всё.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤4🔥1
Случалось ли вам по ошибке обновить Kubernetes Secret?
Такое происходит чаще, чем кажется. Например:
Вы обновляете Secret для одного сервиса в кластере, но случайно редактируете Secret, который используется критичным приложением.
Через пару секунд приложение падает, потому что креды больше не совпадают.
Чтобы предотвратить такие ситуации, Kubernetes позволяет сделать Secrets immutable.
Достаточно добавить одну строку
Если кто-то попробует его изменить, Kubernetes заблокирует обновление.
Если всё же нужно обновить immutable Secret, его придётся удалить и создать заново.
Есть и другой способ избежать случайных изменений – использовать Secrets Store CSI Driver.
Он монтирует внешние секреты из провайдеров вроде AWS Secrets Manager напрямую как read-only тома в поды, так что их нельзя модифицировать из кластера.
Чтобы узнать больше о Secrets Store CSI Drive, прочитайте эту статью:
https://devopscube.com/secrets-store-csi-dirver-eks/
👉 DevOps Portal
Такое происходит чаще, чем кажется. Например:
Вы обновляете Secret для одного сервиса в кластере, но случайно редактируете Secret, который используется критичным приложением.
Через пару секунд приложение падает, потому что креды больше не совпадают.
Чтобы предотвратить такие ситуации, Kubernetes позволяет сделать Secrets immutable.
Достаточно добавить одну строку
immutable: true в манифест, вы можете залочить этот Secret.Если кто-то попробует его изменить, Kubernetes заблокирует обновление.
Если всё же нужно обновить immutable Secret, его придётся удалить и создать заново.
Есть и другой способ избежать случайных изменений – использовать Secrets Store CSI Driver.
Он монтирует внешние секреты из провайдеров вроде AWS Secrets Manager напрямую как read-only тома в поды, так что их нельзя модифицировать из кластера.
Чтобы узнать больше о Secrets Store CSI Drive, прочитайте эту статью:
https://devopscube.com/secrets-store-csi-dirver-eks/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2
Традиционно наибольшему глубинному пониманию и максимально переносимым знаниям способствует такой порядок обучения:
Linux → Networking → Containers → {Kubernetes, Cloud}
Переходить сразу к изучению более высокоуровневых сетевых компонентов, таких как AWS VPC, Security Groups, Internet Gateways и т.п., вполне распространённая практика, но, по моему опыту, это часто приводит к тому, что на освоение уходит больше времени, а при переходе с AWS на Azure или при отказе от удобств облака в пользу более дешёвой, но и более суровой реальности on-prem-развёртываний приходится буквально переучиваться с нуля.
В противоположность этому, когда вы сначала разбираетесь с LAN’ами (L2-широковещательные домены, типовые топологии коммутаторов и т. п.), затем с L3-маршрутизацией, iptables и NAT, понимание того, что такое VPC и Security Group на самом деле, становится гораздо проще.
И самое приятное в том, что у фокуса на фундаментальных вещах есть ещё одно важное преимущество: знания становятся переносимыми и в сторону тоже
Например, контейнерная сеть (типичная bridge-сеть Docker) и Node/Pod-сети в Kubernetes опираются на те же концепции, даже если отдельные примитивы виртуализированы (Linux bridge выступает виртуальным коммутатором, а network namespace — аналогом изолированного сетевого узла).
Поэтому в iximiuz Labs делается акцент на фундаментальных аспектах серверных технологий:
- [course] Computer Networking Fundamentals For Developers, DevOps, and Platform Engineers — https://labs.iximiuz.com/courses/computer-networking-fundamentals
- [hands-on] Practical Networking 101 problems — https://labs.iximiuz.com/challenges?category=networking
👉 DevOps Portal
Linux → Networking → Containers → {Kubernetes, Cloud}
Переходить сразу к изучению более высокоуровневых сетевых компонентов, таких как AWS VPC, Security Groups, Internet Gateways и т.п., вполне распространённая практика, но, по моему опыту, это часто приводит к тому, что на освоение уходит больше времени, а при переходе с AWS на Azure или при отказе от удобств облака в пользу более дешёвой, но и более суровой реальности on-prem-развёртываний приходится буквально переучиваться с нуля.
В противоположность этому, когда вы сначала разбираетесь с LAN’ами (L2-широковещательные домены, типовые топологии коммутаторов и т. п.), затем с L3-маршрутизацией, iptables и NAT, понимание того, что такое VPC и Security Group на самом деле, становится гораздо проще.
И самое приятное в том, что у фокуса на фундаментальных вещах есть ещё одно важное преимущество: знания становятся переносимыми и в сторону тоже
Например, контейнерная сеть (типичная bridge-сеть Docker) и Node/Pod-сети в Kubernetes опираются на те же концепции, даже если отдельные примитивы виртуализированы (Linux bridge выступает виртуальным коммутатором, а network namespace — аналогом изолированного сетевого узла).
Поэтому в iximiuz Labs делается акцент на фундаментальных аспектах серверных технологий:
- [course] Computer Networking Fundamentals For Developers, DevOps, and Platform Engineers — https://labs.iximiuz.com/courses/computer-networking-fundamentals
- [hands-on] Practical Networking 101 problems — https://labs.iximiuz.com/challenges?category=networking
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3
Bare Metal + Terraform-провайдер = высокая производительность с гибким управлением 💯
В Selectel с помощью Terraform можно работать не только с облаками, но и с «железом». Как новая фича комбинирует ресурсы — поделятся эксперты компании.
📍 Регистрируйтесь и подключайтесь онлайн 9 декабря в 16-00 МСК на вебинар по приручению bare metal
На встрече вы узнаете о пользе Terraform для управления IT-инстраструктурой. А еще протестируете сервис и задеплоите Docker-приложение при заказе. Так вы получите высокую производительность выделенных серверов с гибким управлением. В точности, как у облака.
🦖 Все участники вебинара попробуют Terraform бесплатно — с промокодом на 3 000 бонусов в панели управления. Регистрируйтесь на вебинар по ссылке: https://slc.tl/g1dm9
Больше мероприятий для IT-специалистов ищите в Telegram-канале @selectel_events
Реклама. АО "Селектел". erid:2W5zFGjf4fA
В Selectel с помощью Terraform можно работать не только с облаками, но и с «железом». Как новая фича комбинирует ресурсы — поделятся эксперты компании.
📍 Регистрируйтесь и подключайтесь онлайн 9 декабря в 16-00 МСК на вебинар по приручению bare metal
На встрече вы узнаете о пользе Terraform для управления IT-инстраструктурой. А еще протестируете сервис и задеплоите Docker-приложение при заказе. Так вы получите высокую производительность выделенных серверов с гибким управлением. В точности, как у облака.
🦖 Все участники вебинара попробуют Terraform бесплатно — с промокодом на 3 000 бонусов в панели управления. Регистрируйтесь на вебинар по ссылке: https://slc.tl/g1dm9
Больше мероприятий для IT-специалистов ищите в Telegram-канале @selectel_events
Реклама. АО "Селектел". erid:2W5zFGjf4fA
❤1👀1
Откопал годный инструмент – Pinniped
По сути, Pinniped выступает в роли authentication service для Kubernetes кластера. Он поддерживает различные authenticator types и OIDC identity providers, а также имплементирует различные стратегии интеграции с различными дистрибутивами Kubernetes для облегчения аутентификации
👉 DevOps Portal
По сути, Pinniped выступает в роли authentication service для Kubernetes кластера. Он поддерживает различные authenticator types и OIDC identity providers, а также имплементирует различные стратегии интеграции с различными дистрибутивами Kubernetes для облегчения аутентификации
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3🔥1
Лёгкий GUI для управления несколькими Kubernetes-кластерами из одного места, с отображением в реальном времени, порт-форвардингом, агрегированными логами и опциональной AI-поддержкой для Troubleshooting через OpenAI/Claude/Gemini/Ollama
GitHub: kubewall
👉 DevOps Portal
GitHub: kubewall
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍2
Как превратить свой старый телефон в веб-сервер
Эта статья хостится на лежащем в ящике Fairphone 2 2015 года, работающем на postmarketOS
В этом туториале тебя проведут по шагам, которые привели к такому результату
В итоге у тебя получится небольшой домашний сервер, способный запускать базовые сервисы
Читайте здесь
👉 DevOps Portal
Эта статья хостится на лежащем в ящике Fairphone 2 2015 года, работающем на postmarketOS
В этом туториале тебя проведут по шагам, которые привели к такому результату
В итоге у тебя получится небольшой домашний сервер, способный запускать базовые сервисы
Читайте здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤5😁1
Годная серия статей - "Hands-on lab: Full Kubernetes compromise, what will your SOC do about it?". Она включает четыре части:
1) Введение - легенда про вымышленную компанию Kuby, в которой случился инцидент и были слиты их данные. Дается описание инфраструктуры компании.
2) Построение уязвимой инфраструктуры Kuby - стек Terraform, Amazon EKS, GitHub Actions CI/CD pipeline.
3) Атака инфраструктуры Kuby - supply-chain attack приводящий к backdoor.
4) Расследование инцидента - анализ событий в GuardDuty и сбор релевантных артефактов и что можно еще улучшить.
Полезно👍
👉 DevOps Portal
1) Введение - легенда про вымышленную компанию Kuby, в которой случился инцидент и были слиты их данные. Дается описание инфраструктуры компании.
2) Построение уязвимой инфраструктуры Kuby - стек Terraform, Amazon EKS, GitHub Actions CI/CD pipeline.
3) Атака инфраструктуры Kuby - supply-chain attack приводящий к backdoor.
4) Расследование инцидента - анализ событий в GuardDuty и сбор релевантных артефактов и что можно еще улучшить.
Полезно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3
Ваши сценарии автоматизации снова упираются в рутину и ручные доработки? Пора это исправить.
Приглашаем на вебинар Astra Automation 2.0 — для тех, кто отвечает за автоматизацию, развертывания и стабильность ИТ-инфраструктуры: DevOps, инженеров автоматизации, системных администраторов и архитекторов.
Что разберём:
📅 Дата: 10 декабря
⏰ Время: 11:00
Регистрируйтесь по ссылке
Приглашаем на вебинар Astra Automation 2.0 — для тех, кто отвечает за автоматизацию, развертывания и стабильность ИТ-инфраструктуры: DevOps, инженеров автоматизации, системных администраторов и архитекторов.
Что разберём:
🔹Как снизить объём ручных задач и ускорить ИТ-процессы
🔹Как обеспечить предсказуемые и надёжные развертывания
🔹Как платформа помогает масштабировать задачи без хаоса
🔹Покажем единый интерфейс, новые сценарии установки и Fast-Fail на практике
🔹Дадим рекомендации по запуску и тестовому доступу
Регистрируйтесь по ссылке
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2😁2🔥1🤔1
Kubectl плагин для Kubernetes OpenID Connect аутентификации. Также известен как kubectl oidc-login.
Принцип его работы довольно простой: при запуске kubectl, kubelogin открывает страницу, где можно залогиниться через провайдера. Получив токен от провайдера, он передается в kubectl и используется для доступа в Kubernetes API.
GitHub: kubelogin
👉 DevOps Portal
Принцип его работы довольно простой: при запуске kubectl, kubelogin открывает страницу, где можно залогиниться через провайдера. Получив токен от провайдера, он передается в kubectl и используется для доступа в Kubernetes API.
GitHub: kubelogin
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
От 300 МБ до 6 МБ в контейнерном образе
Вот как
Когда вы собираете контейнерные образы, чаще всего начинаете с базового образа вроде Ubuntu, Alpine или Debian.
Но что, если можно стартовать с пустоты?
❌ Без ОС
❌ Без shell
❌ Без лишних файлов
✅ Только ваше приложение и конфиги
Именно это и позволяет сделать базовый образ Docker scratch.
Вот простой гайд, который охватывает следующее:
- Как работают scratch-образы
- Добавление SSL-сертификатов
- Управление данными таймзоны
- Настройка пользователя и многое другое
Читайте здесь
👉 DevOps Portal
Вот как
Когда вы собираете контейнерные образы, чаще всего начинаете с базового образа вроде Ubuntu, Alpine или Debian.
Но что, если можно стартовать с пустоты?
Именно это и позволяет сделать базовый образ Docker scratch.
Вот простой гайд, который охватывает следующее:
- Как работают scratch-образы
- Добавление SSL-сертификатов
- Управление данными таймзоны
- Настройка пользователя и многое другое
Читайте здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥3
Уроки по ИБ, белый хакинг, вирусы, социальная инженерия, безопасность
ИБ Книга — Более 1660 русскоязычных книг по ИБ и Социальной Инженерии можно найти на канале.
no system is safe // cybersec — один из древнейших ресурсов по информационной безопасности в рунете. Книги, курсы, полезные тулсы, уроки по Linux, новости клирнета и даркнета.
Python и 1000 программ — уроки по Python. Python мы будем использовать для создания хакерского софта.
Этичный Хакер — один из крупнейших ресурсов по информационной безопасности в СНГ.
Бэкап — канал с исходниками популярных проектов. Здесь вы найдёте исходные коды нейросетей, ботов, сайтов и других интересных проектов, которые дадут дополнительные знания
Весь материал на каналах в общем доступе. Ничего лишнего.
ИБ Книга — Более 1660 русскоязычных книг по ИБ и Социальной Инженерии можно найти на канале.
no system is safe // cybersec — один из древнейших ресурсов по информационной безопасности в рунете. Книги, курсы, полезные тулсы, уроки по Linux, новости клирнета и даркнета.
Python и 1000 программ — уроки по Python. Python мы будем использовать для создания хакерского софта.
Этичный Хакер — один из крупнейших ресурсов по информационной безопасности в СНГ.
Бэкап — канал с исходниками популярных проектов. Здесь вы найдёте исходные коды нейросетей, ботов, сайтов и других интересных проектов, которые дадут дополнительные знания
Весь материал на каналах в общем доступе. Ничего лишнего.
Advanced Linux Detection and Forensics Cheatsheet - полезный систематизирующий документ по моментам связанным с обнаружением и расследованием инцидентов в Linux
👉 DevOps Portal
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍4🤔1
Forwarded from Мир Linux
Let’s Encrypt сократит срок действия сертификатов до 45 дней
Let’s Encrypt официально объявил о планах уменьшить максимальный срок действия своих SSL/TLS-сертификатов с 90 дней до 45 дней.
10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года
В качестве причины сокращения срока действия сертификатов называются новые требования ассоциации CA/Browser Forum, выработанные в ходе совместной работы производителей браузеров и удостоверяющих центров
@linuxos_tg
Let’s Encrypt официально объявил о планах уменьшить максимальный срок действия своих SSL/TLS-сертификатов с 90 дней до 45 дней.
10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года
В качестве причины сокращения срока действия сертификатов называются новые требования ассоциации CA/Browser Forum, выработанные в ходе совместной работы производителей браузеров и удостоверяющих центров
@linuxos_tg
🤯7❤4
Управление микросервисами с Managed Service for Kubernetes®
На Kuber Conf by AOT участники обсудили возможности Managed Service for Kubernetes® — инструмента для оркестрации микросервисов внутри корпоративных сред.
Платформа позволяет автоматизировать развертывание, масштабирование и контроль состояния Kubernetes-кластеров, обеспечивая стабильность и предсказуемость работы сервисов.
На стенде участники проверяли свои знания в Kubernetes®, сражались с Chaos Monster и восстанавливали систему в игре «Спасение Контейнерленда».
👉 DevOps Portal
На Kuber Conf by AOT участники обсудили возможности Managed Service for Kubernetes® — инструмента для оркестрации микросервисов внутри корпоративных сред.
Платформа позволяет автоматизировать развертывание, масштабирование и контроль состояния Kubernetes-кластеров, обеспечивая стабильность и предсказуемость работы сервисов.
На стенде участники проверяли свои знания в Kubernetes®, сражались с Chaos Monster и восстанавливали систему в игре «Спасение Контейнерленда».
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍1🔥1
Этот инструмент предоставляет десктопный и мобильный GUI для управления кластерами Kubernetes.
Он позволяет:
- импортировать kubeconfig'и,
- просматривать ресурсы и метрики,
- выполнять exec в поды,
- пробрасывать порты,
- управлять релизами Helm.
GitHub: kubeterm
👉 DevOps Portal
Он позволяет:
- импортировать kubeconfig'и,
- просматривать ресурсы и метрики,
- выполнять exec в поды,
- пробрасывать порты,
- управлять релизами Helm.
GitHub: kubeterm
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3