Selfharm Linux
Контейнер Docker и форк Suicide Linux — любая неверная команда Bash заставит интерпретатор удалить случайный файл с жесткого диска пользователя.
Это игра, чтобы увидеть, как долго пользователь может продолжать использовать операционную систему до её сбоя.
Игру можно запустить в безопасном или опасном режиме
📌 Подробнее: https://github.com/RGBCube/selfharm-linux
MemOps🤨
Контейнер Docker и форк Suicide Linux — любая неверная команда Bash заставит интерпретатор удалить случайный файл с жесткого диска пользователя.
Это игра, чтобы увидеть, как долго пользователь может продолжать использовать операционную систему до её сбоя.
Игру можно запустить в безопасном или опасном режиме
📌 Подробнее: https://github.com/RGBCube/selfharm-linux
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
😁18🔥5👍2
Бесплатные сертификационные курсы: DevOps и Cloud. Часть 3
✅ Jenkins
http://mygreatlearning.com/academy/learn-for-free/courses/jenkins-tutorial
✅ Puppet
http://simplilearn.com/free-course-to-learn-puppet-basics-skillup
✅ Chef
http://simplilearn.com/chef-in-devops-basics-free-course-skillup
✅ Ansible
http://simplilearn.com/learn-ansible-basics-free-course-skillup
✅ Selenium
http://mygreatlearning.com/academy/learn-for-free/courses/selenium-basics
✅ VirtualBox & vSphere
http://openclassrooms.com/courses/7163136-set-up-virtual-machines-using-virtualbox-and-vsphere
MemOps🤨
http://mygreatlearning.com/academy/learn-for-free/courses/jenkins-tutorial
http://simplilearn.com/free-course-to-learn-puppet-basics-skillup
http://simplilearn.com/chef-in-devops-basics-free-course-skillup
http://simplilearn.com/learn-ansible-basics-free-course-skillup
http://mygreatlearning.com/academy/learn-for-free/courses/selenium-basics
http://openclassrooms.com/courses/7163136-set-up-virtual-machines-using-virtualbox-and-vsphere
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
• Опыт масштабирования Kubernetes на 2k узлов и на 400k подов
• Впихнуть невпихуемое, или Как мы боролись с сервисами, которые слишком много «ели»
• Personal (jesus) стенд — решаем проблему тестовых контуров в компании
• Команда любого продукта должна уметь работать с пользователями?
• How to Enhance Application Security Posture with Docker Scout Policies
• Introducing Docker Build Cloud: A New Solution to Speed Up Build Times and Improve Developer Productivity
• Image Filesystem: Configuring Kubernetes to store containers on a separate filesystem
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁42👍5🤯2
Grafana 10.3
• Обновились всплывающие подсказки (появились цветовые индикаторы и появилась поддержка более длинных записей);
• На панели типа Canvas появился зум (увеличение);
• Появилась возможность отображать изменения в процентах;
• Появился аудит анонимных подключений и возможность их количественно ограничить;
• Экспорт табличных представлений в PDF-файлы;
📌 Подробнее: https://grafana.com/blog/2024/01/23/grafana-10.3-release-canvas-panel-updates-multi-stack-data-sources-and-more/
MemOps🤨
• Обновились всплывающие подсказки (появились цветовые индикаторы и появилась поддержка более длинных записей);
• На панели типа Canvas появился зум (увеличение);
• Появилась возможность отображать изменения в процентах;
• Появился аудит анонимных подключений и возможность их количественно ограничить;
• Экспорт табличных представлений в PDF-файлы;
📌 Подробнее: https://grafana.com/blog/2024/01/23/grafana-10.3-release-canvas-panel-updates-multi-stack-data-sources-and-more/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🫡2
10 самых распространенных проблем при линтинге Dockerfile'ов
Весной 2023 года разработчики Depot сообщили о том, что теперь с помощью их сервиса можно проверять Dockerfile при каждой сборке. Depot — это сервис удаленной сборки контейнеров, который может создавать образы Docker до 20 раз быстрее, чем сборка образов Docker внутри обычных CI-провайдеров.
После добавления возможности проверять Dockerfiles в Depot разработчики сервиса столкнулись со множеством сложностей. В итоге они выделили 10 наиболее распространенных проблем при линтинге Dockerfile'ов.
✅ В Depot мы используем два линтера Dockerfile'ов: hadolint и набор правил для линтера Dockerfile'ов, разработанный Semgrep. Благодаря им процесс становится более интеллектуальным и автоматизированным.
Hadolint можно запустить локально — задать ему определенные правила и снабдить конфиг-файлом. Также доступен пользовательский веб-интерфейс. Предварительно hadolint необходимо установить. Это можно сделать с помощью brew либо использовать готовый Docker-образ и просто «скормить» ему Dockerfile:
1. Объединяйте связанные инструкции RUN
2. Явно указывайте версии при установке с apt-get
3. Используйте --no-install-recommends, чтобы избежать установки ненужных пакетов
4. Не используйте кэш при вызове pip install
5. Удаляйте списки apt-get после установки пакетов
6. Используйте WORKDIR вместо RUN cd some-path
7. Явно указывайте версии пакетов при установке через pip
8. Используйте нотацию JSON для аргументов CMD и ENTRYPOINT
9. Используйте apt-get или apt-cache вместо apt
10. Явно задавайте версии пакетов при установке через apk add
📌 Подробнее почитать об этих проблемах и их решениях можно в статье: https://habr.com/ru/companies/flant/articles/787494/
MemOps🤨
Весной 2023 года разработчики Depot сообщили о том, что теперь с помощью их сервиса можно проверять Dockerfile при каждой сборке. Depot — это сервис удаленной сборки контейнеров, который может создавать образы Docker до 20 раз быстрее, чем сборка образов Docker внутри обычных CI-провайдеров.
После добавления возможности проверять Dockerfiles в Depot разработчики сервиса столкнулись со множеством сложностей. В итоге они выделили 10 наиболее распространенных проблем при линтинге Dockerfile'ов.
Hadolint можно запустить локально — задать ему определенные правила и снабдить конфиг-файлом. Также доступен пользовательский веб-интерфейс. Предварительно hadolint необходимо установить. Это можно сделать с помощью brew либо использовать готовый Docker-образ и просто «скормить» ему Dockerfile:
hadolint Dockerfile
# или использовать Docker-образ
docker run --rm -i ghcr.io/hadolint/hadolint < Dockerfile
1. Объединяйте связанные инструкции RUN
2. Явно указывайте версии при установке с apt-get
3. Используйте --no-install-recommends, чтобы избежать установки ненужных пакетов
4. Не используйте кэш при вызове pip install
5. Удаляйте списки apt-get после установки пакетов
6. Используйте WORKDIR вместо RUN cd some-path
7. Явно указывайте версии пакетов при установке через pip
8. Используйте нотацию JSON для аргументов CMD и ENTRYPOINT
9. Используйте apt-get или apt-cache вместо apt
10. Явно задавайте версии пакетов при установке через apk add
📌 Подробнее почитать об этих проблемах и их решениях можно в статье: https://habr.com/ru/companies/flant/articles/787494/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
trippy – инструмент сочетает в себе функциональность traceroute и ping и предназначен для оказания помощи в анализе сетевых проблем.
📌 Подробнее: https://github.com/fujiapple852/trippy
MemOps🤨
📌 Подробнее: https://github.com/fujiapple852/trippy
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Захват кластера Kubernetes через аккаунт Google
Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE). Она позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.
Проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google.
Внешние злоумышленники могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace.
Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.
Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.
MemOps🤨
Orca Security обнаружила уязвимость в Google Kubernetes Engine (GKE). Она позволяет злоумышленникам с Google-аккаунтом получить контроль над кластером Kubernetes. Проблема получила кодовое название Sys:All. По оценкам, уязвимости подвержены около 250 000 активных кластеров GKE.
Проблема заключается в распространенном заблуждении относительно группы system:authenticated в GKE. Это специальная группа, включающая все аутентифицированные объекты, включая пользователей и учетные записи служб. Многие полагают, что в группу входят только проверенные пользователи, тогда как на самом деле она включает любые аккаунты Google.
Внешние злоумышленники могут использовать свой токен Google OAuth 2.0 для получения контроля над кластером и последующего использования его для различных целей, включая криптомайнинг, атаки типа «отказ в обслуживании» и кражу конфиденциальных данных. К тому же такой подход не оставляет следов, которые можно было бы проследить до конкретного аккаунта Gmail или Google Workspace.
Под ударом различные чувствительные данные, включая токены JWT, ключи API GCP, ключи AWS, учетные данные Google OAuth, закрытые ключи и доступы к реестрам контейнеров, что может привести к внедрению вредоносного кода в образы контейнеров.
Google уже предприняла шаги по устранению недостатка, запретив привязку группы system:authenticated к роли cluster-admin в версиях GKE 1.28 и выше. Компания также рекомендует пользователям не привязывать группу system:authenticated к каким-либо ролям RBAC (role-based access control) и проверить, не связаны ли их кластеры с группой.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯11👌2
Media is too big
VIEW IN TELEGRAM
Announcing Docker Scout Software Supply Chain Solution for Open Source Projects (Анонс решения для цепочки поставок программного обеспечения Docker Scout для проектов с открытым исходным кодом)
📌 Подробнее: https://www.docker.com/blog/docker-scout-software-supply-chain-solution-for-open-source-projects/
MemOps🤨
📌 Подробнее: https://www.docker.com/blog/docker-scout-software-supply-chain-solution-for-open-source-projects/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Контроллер чистоты Kubernetes
k8s-cleaner – идентифицирует, удаляет и обновляет устаревшие ресурсы для поддержания чистой и эффективной среды Kubernetes. Поддерживает сухой запуск и гибко настраивается.
Cпособен обработать любой тип ресурсов Kubernetes (включая ваши собственные) и отфильтровать их на основе меток и пользовательских критериев.
После того, как работа сделана, уведомляет вас, например, в Slack.
📌 Подробнее: https://github.com/gianlucam76/k8s-cleaner?tab=readme-ov-file
MemOps🤨
k8s-cleaner – идентифицирует, удаляет и обновляет устаревшие ресурсы для поддержания чистой и эффективной среды Kubernetes. Поддерживает сухой запуск и гибко настраивается.
Cпособен обработать любой тип ресурсов Kubernetes (включая ваши собственные) и отфильтровать их на основе меток и пользовательских критериев.
После того, как работа сделана, уведомляет вас, например, в Slack.
📌 Подробнее: https://github.com/gianlucam76/k8s-cleaner?tab=readme-ov-file
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2
Захват сервера Jenkins с помощью одного символа
Jenkins исправил 9 уязвимостей в системе безопасности, включая одну критическую –
CVE-2024-23897 – уязвимость чтения произвольного файла через встроенный интерфейс командной строки. Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
Уязвимость устранена в версиях Jenkins 2.442 и LTS 2.426.3 путём отключения функции синтаксического анализа команд. В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
MemOps🤨
Jenkins исправил 9 уязвимостей в системе безопасности, включая одну критическую –
CVE-2024-23897, которая приводит к удаленному выполнению кода.CVE-2024-23897 – уязвимость чтения произвольного файла через встроенный интерфейс командной строки. Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
Уязвимость устранена в версиях Jenkins 2.442 и LTS 2.426.3 путём отключения функции синтаксического анализа команд. В качестве временного решения, пока исправление не будет применено, рекомендуется отключить доступ к CLI.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5