И немного дополню это всё, так как только инструментами всё не решается.

CIS Benchmarks
Docker Best Practice
Aquasec Top 20 Docker Security Best Practices

Да, кроме этого есть ещё clair, Lynis, но первый довольно масштабный, и нужен не всем, а Lynis довольно своеобразен.

Если вы не планируете интеграцию в CI/CD, то trivy отличный вариант.
А в CI/CD можно и dockle или clair засунуть интегрировать.

Сетевая автоматизация продолжается

Ну что, результат полугода работы - вот он.
Сразу две новые статьи из цикла Автоматизация для самых маленьких.

Это была когда-то одна заметка, но где-то на двухсоттысячном символе я придумал, что надо разделить.
Они обе про интерфейсы и инструменты. Обе переплетаются очень тесно во многих местах.

Но первая - этакий пролёт на большой высоте. А вторая - практическая.

Итак: АДСМ5. История сетевой автоматизации - путь из CLI в gNMI
https://habr.com/ru/post/667012/

- Триста разных RFC
- SNMP на самом деле Simple, просто вы не знали про другие протоколы
- У нас был шанс оседлать Model Driven подход ещё в 90-е
- Почему NETCONF круче SNMP?
- Что общего между YANG и SNMP
- Почему вообще, блин, в этом анонсе так много про SNMP?
- OpenConfig к нам приходит, но по частям
- Что значит g в gRPC
- Бреющий полёт над Whitebox'ами
- Мы всё делаем неправильно, давайте выбросим своё легаси

Существуют техники, которыми пользуются почти все хакеры — независимо от квалификации. С их помощью можно обнаруживать атаки, даже если данных очень мало.

Олег Скулкин проанализировал эти техники на основе реальных сценариев атак и пришел к интересным выводам: https://event.phdays.com/ru#how-to-detect-95-of-attacks-covering-5-of-threat-actors-techniques

https://github.com/terrytangyuan/awesome-argo

#argo #awesome

Удачные grafana дашборды не только показывают все нужные данные в читаемом виде, но и выглядят красиво - не стыдно вывести на большой экран в кабинете.

А ещё из них можно почерпнуть идеи и best practices для своих дашбордов

https://www.containiq.com/post/grafana-dashboards-and-examples

#grafana #dashboard

CyberChef - онлайн кодер/декодер всего во всё

https://gchq.github.io/CyberChef/

#encryption #encoding

Набор майндмапов по безопасности

- Hacking challenges
- Big Data security
- AWS Compute
- AWS Database
- AWS Networking
- AWS Storage
- BPMN 2.0
- Forensic Challenges
- Code Reviews
- SABSA Concepts
- SABSA Design
- SABSA Operations
- VMs and LiveCDs
- Forensics
- ISO27001
- PCI DSS
- Cryptography
- PKI
- VoIP
- VPN
- Securing home computers
- Wireless reviews
- Browser plugins
- Infrastructure reviews
- Web application tests
- Security tests
- Worm classification
- Virus classification


Спасибо @linkmeup_podcast за ссылку
#security #mindmap

Интересный проект

#security #network

PiRogue это ПиРог или ПиРога? Хотя, тут как не называй, хорошо что проект ожил, был выложен на гитхаб и продолжил развиваться. Даже на текущие цены на малинки бухтеть не буду.

https://habr.com/ru/company/vasexperts/blog/671866/

Vacuum и autovacuum в PostgreSQL

https://www.2ndquadrant.com/en/blog/autovacuum-tuning-basics/

#Postgres #vacuum

Mikrotik remote jailbreak

https://github.com/MarginResearch/FOISted

Спасибо лучшему чату для сисадминов и девопсов за ссылку!

#mikrotik #security

В написании хорошего Dockerfile есть свои секреты. Чувствуется, что автор притянул за уши некоторые аргументы, чтобы добиться 21 пункта, но пост стОит того, чтобы его прочитали

Советы из поста:
- CHOOSE MINIMAL BASE IMAGES
- REMOVE CACHE PACKAGES
- AVOID MULTIPLE LAYERS
- DON’T IGNORE .DOCKERIGNORE
- CHOOSE SLIM VARIANTS
- CUT THE ROOT
- REMOVE THE UNWANTED
- TAG WISELY
- SO NO TO LATEST TAG
- PUBLIC OR PRIVATE REGISTRY
- KEEP IT SINGLE
- USE LINTER
- DONT STORE SECRETS
- AVOID HARD CODING
- AVOID DEBUGGING TOOLS
- ADDING METADATA
- USING VULNERABILITY CHECK
- AVOID COPYING EVERYTHING
- USE WORKDIR WHEN NEEDED
- MULTI-STAGE BUILDS
- LASTLY CACHE


https://chrisedrego.medium.com/20-best-practise-in-2020-for-dockerfile-bb04104bffb6

#dockerfile #docker #bestpractice

Извращения с Apache Kafka: забавный кейс из жизни

Открытый вебинар для тех, кто хочет узнать, как организовать Data Lake на 80 ТБ с помощью Apache Kafka.

7 июля в 19:00 (мск)

Проведёт вебинар Михаил Кобик, руководитель инфраструктурных решений в SMART Technologies SOFT. Уже более 5 лет он занимается нагруженными проектами, а в числе его успешных проектов продукты из разных сфер: от инфраструктур для ГИС до интернет-магазинов кошачьего корма.

Вот планы Михаила на предстоящий вебинар:

«На вебинаре я расскажу о своём опыте создания Data Lake на ~80 ТБ с помощью Apache Kafka. Дополнительно разберу, какие подводные камни могут возникать, если Retention выкручен в 9999999, и как жить, если Apache Kafka — единственный источник данных в информационной системе».

Приходите, будет полезно!
Записаться на вебинар: https://slurm.club/3noPWBX

Интересный факт

В 1996 провели эксперимент на Linux 1.3.37 с 200 MHz P6 CPU. Выполнение сискола заняло 4 микросекунды, а контекст свитчинг выполнялся 6 микросекунд

А более свежих данных я не искал. Если у вас есть - делитесь в комментариях

RCE в OpenSSL 3.0.4

https://bdu.fstec.ru/vul/2022-04039

Буба запускал сценарии только в активном режиме, не использовал планировщики и не редактировал вывод с помощью утилит sed и awk. Не будь Бубой. Прочти статью и пиши bash-скрипты правильно 👉 https://slurm.club/3PnPqju

Автор канала с нетерпением ждёт ваших искрометных шуточек в комментариях

DevOps institute:
SRE and incident management

Crossplane - The cloud native control plane framework
Управление облачными ресурсами из kubectl

Посмотреть все значения #kubernetes #secret в расшифрованном виде:
kubectl get secret secretname -ojson | jq '.data | map_values(@base64d)'

Хотите знать все о внутрянке Kubernetes и держать в узде инфраструктуру проекта без лишних нервов?

Для тех, кто уже работал с K8S учебный центр Слёрм запускает курс Kubernetes: Мега. Вас ждет 13 ама-сессий, более 6 часов практики на стендах, видео с теорией, сертификация и обратная связь.

Вы узнаете:

✔️ о тонкостях установки и конфигурации production-ready кластера
✔️ как идентифицировать пользователя в корпоративном LDAP, AD или через OIDC
✔️ все о сетевых политиках, высокодоступных приложениях и хранении секретов в K8S
✔️ что дают технологии HorizontalPodAutoscaler
✔️ как использовать техники Blue-Green Deploy и Canary Deploy
✔️ какие возможности открывает Service mesh Istio

Новый поток стартует с 3 сентября, а видеокурс доступен в любое время. Записаться и узнать подробности можно по ссылке: https://slurm.club/3uQGew7