Пока читал о CVE наткнулся на интересный пост о внутреннем устройстве RouterOS

С Праздником, друзья!

Пусть новые технологии ещё долго будут нам интересны - это поддержит ясность ума

Пусть построенные нами системы будут надёжны - это улучшит наш отдых

Пусть партнёры выполняют свои обещания - это сделает мир лучше

За сисадминов! 🍺

https://github.com/danielmiessler/SecLists/pull/155

Требуются контрибьюторы

Роутер

Автор: Grad 916
Адрес: г. Екатеринбург, Вторчермет (56.762695° 60.577451°)

PS: Всех причастных с днем системного администратор 👨‍💻

#ekaterinburg #grad916

🚀 Open SysConf'23 Открыта регистрация на 16 Сентября
 
Помимо регистрации, предварительно обозначены keywords/тематики конференции:
— eBPF "сниффинг"
— "Старт" в Kubernetes
— RHCSA "путь сертификации"
— "кто есть" Software Analyst
— Тестинг "нагрузочный"
— Применение профессионального опыта в разработке и автоматизации анализа рынка недвижимости
— Как сделать открытый сервис, который поддержали world level компании и проекты на примере OpenBLD.net DNS

Напоминаю: в этом году Open SysConf.io поддержала локацией и всем сопутствующим команда из Kolesa Group где собственно вчера в видео-приглашении и засветили локацию 👀.

Количество мест строго ограничено. Успевайте зарегистрироваться — Стать участником

https://healthchecks.io/
Проверялка периодических событий, например, cronjob или скриптов бэкапа. Просто обращаешься к заданному URL в конце скрипта. Если обращения в ожидаемое время не произошло, севис пришлет алерт

Почему не использовать свой внутренний сервис для таких целей? Да потому что если ляжет вся инфраструктура, то уведомления тебе отправить будет некому как собственно и при падении стороннего сервиса 😊

Дипломированный девопс

https://magistratura.fa.ru/fakultet-informacionnyh-tehnologiy-i-analiza-bolshih-dannyh-29/devops-inzheneriya/

https://www.firezone.dev
Wireguard с мордой/селф сервис портал и сторонней авторизацией

CNCF опубликовало текст документа "Security Zero Trust using Cloud Native Platforms". Очень достойный документ, который в очередной раз заставляется задуматься о пользе постоянных сканирований, использования сигнатур и т.д. В итоге понять какие действительно меры рабочие в текущих реалиях.

P.S. Всем хороших выходных!

https://labs-map.isovalent.com/

#cilium #network #k8s #lab

Довольно познавательное чтиво для тех, кто хочет понимать логику и смысл оценки уязвимости в баллах
https://www.securitylab.ru/analytics/355336.php

Этот экзамен дался мне намного легче остальных. Никакой специальной подготовки за исключением трех лет ежедневной работы с кубом.

Перед экзаменом я купил доступ к killer.sh за $29+VAT. Он на 36 часов дает доступ к среде, повторящей среду сдачи экзамена и 25 вопросов, которые значительно сложнее того, что есть на самом экзамене. Это позволяет понять как выглядит экзамен и в каких темах есть пробелы в знаниях и подтянуть их.

Сам экзамен состоит из 17 вопросов, на которые отводится два часа. Как и в других экзаменах на тебя постоянно смотрят в камеру и запрещают ковыряться в носу смотреть в сторону от экрана, подносить руки ко рту, икать и делать всё, что не похоже на нажатия клавиш на клавиатуре, что иногда очень раздражает и ты думаешь не о вопросах, а о том как бы не вызвать очередное раздражение проктора

Описание экзамена все могут посмотреть на оф сайте, но я то знаю, что вам лень, поэтому вот некоторые вопросы из него:

- обновить control-plane ноду с 1.27.1 до 1.27.2. Не зааффектив при этом прод. То есть drane, uncordon, всё такое

- ой, у нас кластер сломался. Почини. Идешь на контрол плейн и читаешь логи. Потом правишь systemd юниты и статик манифесты аписервера и планировщика

- создай networkPolicy, чтобы работало вот так. Дальше простое правило, типа разрешить доступ из конкретного нс к конкретному порту

- самый простой вопрос был: отскейли деплоймент до пяти реплик. Я даже подумал, что где-то подвох

- сделай бэкап etcd и разверни на другой ноде

- сделай демонсет

- сделай PVC и деплоймент его использующий

Проктора, кстати, пришлось ждать аж 20 минут. И это я был девятый в очереди. А ещё перед экзаменом читал отзывы и там писали, что надо использовать внешний монитор вместо стандартного ноутбучного. Я пренебрег этим советом, а зря. Интерфейс экзамена занимает много места и часть окошек внутри сжимается до невероятных размеров - очень неудобно пользоваться браузером (да, да - можно ходить по докам куба)

Покупал бандл из CKA+CKS в прошлую черную пятницу (ноябрь 22) за ~$220 вместо $250 за каждый

Курс Мумшада про СKS выглядит интересно даже для тех, кто не работает с кубом. Тут и AppArmor, и SSH Hardening, и модули ядра, и СIS Benchmarks. Выписал себе интересные темы, попробую найти на ютубе лекции по этим темам. Если найду - обязательно поделюсь. Нет, мне не жалко денег Мумшаду, просто хочется чуть глубже разобраться в темах

Cluster Setup and Hardening:
- The 4C's of Cloud NAtive Security
- CIS Benchmarks for OS and k8s
- Kube-bench
- TLS
- KubeConfig
- API Groups
- Dashboard and its securing
- Verify platform binaries
- Securing ControlPlane Communications with Ciphers

System Hardening:
- Minimize host OS footprint info
- Limit Node Access
- SSH Hardening
- Restrict Kernel Modules
- AquaSec Tracee
- Restrict syscalls using seccomp
- Implement seccomp in k8s
- AppArmor
- Linux Capabilities

Minimize Microservice Vulnerabilities:
- Security Contexts
- Admission Controllers
- Open Policy Agent
- Gatekeeper
- Container Sandboxing
- gVisor
- kata containers
- Runtime Classes
- One way SSL VS mutual SSL
- Pod to pod encryption with mTLS

Supply Chain Security:
- Minimize base image footprint
- Whitelist Allowed Registries - Image Policy Webhook
- Use static analysis of user workloads
- kubesec
- Trivy

Monitoring, Logging, Runtime Security
- Perform behavioral analytics of syscall process
- Falco
- Audit Logs

Kubernetes Deconstructed: Understanding Kubernetes by Breaking It Down

Доклад про куб уровня "поработал немного с кубом и хочу чуть больше подробностей". Можно смотреть и совсем без опыта. Про поды, сервисы, ингресы, coontrolplane, взаимодействие между компонентами

#k8s

Когда заблокируют VPN // Чем опыт обхода цензуры в Китае может быть полезен России и другим странам

То, что происходит в России с блокировками в VPN последнее время - очень плохая история. Но эта история случилась не только у нас, но и в других странах, в частности в Китае, в Иране, Туркменистане. И там это уже длится давно.

Что можно сделать, чтобы лучше понимать ситуацию? Изучить существующий опыт, а также мнение мировых экспертов. Поэтому мы сделали несколько интервью с теми, кто изучает блокировки VPN и вообще угрозы свободы интернета в мире.

Итак, первый фильм цикла "Когда заблокируют VPN?", рассказывающий о Китае. Мы говорим с Джексоном Сиппом, представителем команды GFW Report, который занимается вопросами безопасности сетевых систем, конфиденциальности и борьбы с цензурой.

🤖 https://youtu.be/Bfln5XcDSZE


Видео выпущено на английском языке, с русскими и китайскими субтитрами. Ваши лайки, репосты и подписки помогают нам в продолжать работу, чтобы просчитывать разные сценарии изоляции интернета и готовиться к ним.

➡️ Текстовая версия материала: https://roskomsvoboda.org/post/great-firewall-of-china-gfw-report-interview/

В Хакере опять пишут про mikrotik. Но это не я )

- Атака: https://xakep.ru/2023/08/29/mikrotik-nightmare/
- Защита: https://xakep.ru/2023/08/30/mikrotik-defense/
- Постэксплуатация Windows через виртуальный MikroTik: https://xakep.ru/2023/08/02/caster-remix/