Forwarded from k8s (in)security (D1g1)
Kubernetes Goat - это специально заготовленный Kubernetes кластер с классическими уязвимостями, слабостями и проблемами для обучающих целей. Серия Goat достаточно популярно в security сообществе - есть и web-приложения, mobile-приложения и т.д. И вот очередь дошла и до Kubernetes.
На текущий момент Kubernetes Goat содержит 11 уязвимых сценариев и 3 для знакомства с инструментами Docker CIS Benchmarks, Kubernetes CIS Benchmarks и Hacker Container. Видно, что проект новый и сценариев мало и они не блещут хорошим разнообразием. Но для самого старта сойдет. Уязвимые сценарии:
- Sensitive keys in code bases
- DIND(docker-in-docker) exploitation
- SSRF in K8S world
- Container escape to access host system
- Attacking private registry
- NodePort exposed services
- Helm v2 tiller to PwN the cluster
- Analysing crypto miner container
- Kubernetes Namespaces bypass
- Gaining environment information
- DoS the memory/cpu resources
На текущий момент Kubernetes Goat содержит 11 уязвимых сценариев и 3 для знакомства с инструментами Docker CIS Benchmarks, Kubernetes CIS Benchmarks и Hacker Container. Видно, что проект новый и сценариев мало и они не блещут хорошим разнообразием. Но для самого старта сойдет. Уязвимые сценарии:
- Sensitive keys in code bases
- DIND(docker-in-docker) exploitation
- SSRF in K8S world
- Container escape to access host system
- Attacking private registry
- NodePort exposed services
- Helm v2 tiller to PwN the cluster
- Analysing crypto miner container
- Kubernetes Namespaces bypass
- Gaining environment information
- DoS the memory/cpu resources
Напомню что сегодня стартает Amazon AWS Summit
https://aws.amazon.com/events/summits/online/emea/agenda/
https://aws.amazon.com/events/summits/online/emea/agenda/
Amazon
AWS EMEA Summit Online - Agenda
Сдал вчера экзамен Certified Jenkins Engineer (CJE) https://www.cloudbees.com/jenkins/certification/
Чесно скажу, что просто был купон на бесплатную сдачу экзамена, который мне дали на конференции Devops World/Jenkins World в Лиссабоне. Правда все это дело затянулось из-за Covid19, сдать в центре я не успел, а теперь разрешили сдавать удаленно.
Времени на экзамен было 1 час 30 минут и всего 60 вопросов. Вопросы по пайплайнам, администрированию Jenkins, безопасность, distributed builds и такое прочее. Много запутанных вопросов с multiple choice когда надо выбрать из 5 пунктов 3 правильных.
По поводу подготовки. Если постоянно работаете с Jenkins, то этого недостаточно. Много вопросов сугубо теоретических. Потому я прошел курс по CJE на LinuxAcademy. Аналогичные курсы есть на Udemy плюс там есть practice exam с похожими вопросами для сампроверки. В принципе, курс на Udemy покрывает полностью весь экзамен и в конце курса аналогичный экзамен, так же 60-65 вопросов и лимит времени 2 часа. Если сдаете экзамен в конце курса без проблем, то можно регаться на реальный exam и сдавать, думаю проблем на будет.
Аккуратнее надо со временем, так как я отметил 8 вопросов, чтобы в конце еще раз поревьювать то все, но в конце у меня осталось только 3 минуты времени и я не успел все пересмотреть.
Сертификат по идее пришлют через неделю после экзамена.
Чесно скажу, что просто был купон на бесплатную сдачу экзамена, который мне дали на конференции Devops World/Jenkins World в Лиссабоне. Правда все это дело затянулось из-за Covid19, сдать в центре я не успел, а теперь разрешили сдавать удаленно.
Времени на экзамен было 1 час 30 минут и всего 60 вопросов. Вопросы по пайплайнам, администрированию Jenkins, безопасность, distributed builds и такое прочее. Много запутанных вопросов с multiple choice когда надо выбрать из 5 пунктов 3 правильных.
По поводу подготовки. Если постоянно работаете с Jenkins, то этого недостаточно. Много вопросов сугубо теоретических. Потому я прошел курс по CJE на LinuxAcademy. Аналогичные курсы есть на Udemy плюс там есть practice exam с похожими вопросами для сампроверки. В принципе, курс на Udemy покрывает полностью весь экзамен и в конце курса аналогичный экзамен, так же 60-65 вопросов и лимит времени 2 часа. Если сдаете экзамен в конце курса без проблем, то можно регаться на реальный exam и сдавать, думаю проблем на будет.
Аккуратнее надо со временем, так как я отметил 8 вопросов, чтобы в конце еще раз поревьювать то все, но в конце у меня осталось только 3 минуты времени и я не успел все пересмотреть.
Сертификат по идее пришлют через неделю после экзамена.
Ссылки на курсы по CJE и practice exam
Practice exam https://www.udemy.com/course/certified-jenkins-engineer-cje-practice-exams-z/
Курс https://linuxacademy.com/course/certified-jenkins-engineer/
Practice exam https://www.udemy.com/course/certified-jenkins-engineer-cje-practice-exams-z/
Курс https://linuxacademy.com/course/certified-jenkins-engineer/
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Security_Automation_with_Ansible_2_Leverage_Ansible_2_to_automate.pdf
17.2 MB
Securing Automation with Ansible 2
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature
Книга включает:
- Введение в Ansible плейбуки и роли
- Развертывание hardened WordPress с зашифрованными бекапами
- Мониторинг логов и работа с ELK AWS
- Автоматизация тестирования через OWASP ZAP
- Работа с Nessus
- Харденинг для приложений
- Непрерывное сканирование Docker-контейнеров
- Развертывание лаб для анализа малвари и форензики
- Написание Ansible модуля для тестирования безопасности
- Лучшие практики Ansible
Сопутствующие к книге плейбуки
#literature
Руководство по AWS S3
https://github.com/nickpoida/amazon-s3-getting-started-guide/blob/ru_translation/doc_source/index.md
https://github.com/nickpoida/amazon-s3-getting-started-guide/blob/ru_translation/doc_source/index.md
GitHub
nickpoida/amazon-s3-getting-started-guide
The open source version of the Amazon S3 docs. You can submit feedback & requests for changes by submitting issues in this repo or by making proposed changes & submitting a pull req...
Forwarded from PythonDigest
#python #pydigest
Сборник Python новостей уже перед вами.
В 340 выпуске Python Дайджест вы найдете:
- Используем Let's Encrypt с Django проектом
- Рекурсивные нейронные сети — пример генерации музыки
- R Markdown. Как сделать отчет в условиях неопределенности?
- Python и пиво — взболтать, но не смешивать
- Я вас графония принес! Как нейросеть может улучшить разрешение в старых играх до HD
- Библиотека ASE для атомных симуляций: создаем наночастицы
- YoloV5 для распознавания марок автомобилей
- [Видео] Статическая типизация в Django
- sphinxcontrib-spelling 5.1.2
Заходите в гости - https://pythondigest.ru/issue/340/
Присылайте интересные новости через форму на сайте.
Сборник Python новостей уже перед вами.
В 340 выпуске Python Дайджест вы найдете:
- Используем Let's Encrypt с Django проектом
- Рекурсивные нейронные сети — пример генерации музыки
- R Markdown. Как сделать отчет в условиях неопределенности?
- Python и пиво — взболтать, но не смешивать
- Я вас графония принес! Как нейросеть может улучшить разрешение в старых играх до HD
- Библиотека ASE для атомных симуляций: создаем наночастицы
- YoloV5 для распознавания марок автомобилей
- [Видео] Статическая типизация в Django
- sphinxcontrib-spelling 5.1.2
Заходите в гости - https://pythondigest.ru/issue/340/
Присылайте интересные новости через форму на сайте.
Python Digest
Выпуск 340
Новый выпуск еженедельного дайджеста новостей о #python уже в эфире!
Вебинар «SQL инъекции. Тестирование на проникновение, выявление, защита»
https://itvdn.com/ru/webinars/denoscription/sql-injection20
https://itvdn.com/ru/webinars/denoscription/sql-injection20
Forwarded from DevOps Deflope News
ec2.shop — прикольный сервис для просмотра и сравнения цен на EC2 инстансы от BetterDev.
Немного проще чем https://www.ec2instances.info/, но зато в него можно делать запросы с помощью curl, например `curl https://ec2.shop?region=us-west-2`
#aws #news
Немного проще чем https://www.ec2instances.info/, но зато в него можно делать запросы с помощью curl, например `curl https://ec2.shop?region=us-west-2`
#aws #news