В Хакере опять пишут про mikrotik. Но это не я )

- Атака: https://xakep.ru/2023/08/29/mikrotik-nightmare/
- Защита: https://xakep.ru/2023/08/30/mikrotik-defense/
- Постэксплуатация Windows через виртуальный MikroTik: https://xakep.ru/2023/08/02/caster-remix/

Как получить доступ на ноду kubernetes, если есть kubeconfig, но нет доступа по ключу ssh?

У kubectl есть режим debug, позволяющий дебажить кластер. Один из его параметров запускает под и монтирует файловую систему ноды внутрь этого пода.

Запускаем под

k  debug node/${NODENAME} -it --image=busybox

Вся ФС ноды есть в поде в директории /host

Добавляем свой ключ

echo "ssh-ed25519 KEY_DATA_HERE mikrotik-ninja@bubnovd.net" >> /host/home/mikrotik-ninja/.ssh/authorized_keys

Только не забудьте два раза написать > в последней команде, чтобы не затереть уже существующие ключи и не получить пизблагодарность от коллег

#k8s #security

Немного устаревшая, но всё же схема работы Apple Multi-CND, доставляющей обновки на твой айфон

Санкции добрались до модемов

#openssl #cheatsheet
https://www.xolphin.com/support/OpenSSL/Frequently_used_OpenSSL_Commands

Если вдруг вы не знали:
VS Code, да и, наверное, любой инструмент, работающий с регулярными выражениями, позволяет трансформировать регистр символов при поиске

Например
find: \{\{ (\w+) \}\}
replace-to: {{ requiredEnv "\U$1" }}

Заменит все строки, содержащие двойные скобки, типа такой
{{ variable }}
на такую {{ requiredEnv "VARIABLE" }}

Не то, чтобы это было какое-то грандиозное открытие. Но если вы всё ещё не пользуетесь регэкспами, то самое время начать! Это сэкономит кучу времени.
Кстати, регэкспы есть и в любимом многими notepad++

Полезное из курса CKS
Узнал о существовании kubectl replace

Когда у нас есть под с именем pod и мы хотим что-то в нем поменять и сохранить имя, то получим ошибку вроде Объект с таким именем существует. Надо сначала удалить его, а потом сделать kubectl apply -f pod.yaml

С replace можно не удалять, например
kubectl get pod mypod -o yaml | sed 's/\(image: myimage\):.*$/\1:v4/' | kubectl replace -f -

Выложили доклады с eBPF Summit 2023

https://www.youtube.com/playlist?list=PLDg_GiBbAx-l4D4oKbscJhPFKv2oqPcD_

Программа доступна тут
https://ebpf.io/summit-2023-schedule/

Часто приходят с вопросами про VPN. Я устал говорить, что не занимаюсь этим. Зато занимается один мой хороший товарищ. Дальше его текст. Не реклама, просто хочу помочь обеим сторонам.


Итак, я допилил новый сервер VPN. Для подключения необходимо выполнить инструкции ниже. Старый продолжает работать, но стабильность гарантировать не могу, т.к. РКН блокирует протокол WireGuard.
Принципы прежние: не делай глупостей под VPN, регулярные донаты улучшают твою карму, делиться VPN можно и нужно - информация должна быть свободной. Спасибо за поддержку и участие.

Чтобы безопасно подключиться к интернету, используйте этот сервер.

1. Скачайте и установите на устройство приложение Outline:

iOS: https://itunes.apple.com/app/outline-app/id1356177741
macOS: https://itunes.apple.com/app/outline-app/id1356178125
Windows: https://s3.amazonaws.com/outline-releases/client/windows/stable/Outline-Client.exe
Linux: https://s3.amazonaws.com/outline-releases/client/linux/stable/Outline-Client.AppImage
Android: https://play.google.com/store/apps/details?id=org.outline.android.client
Дополнительная ссылка для Android: https://s3.amazonaws.com/outline-releases/client/android/stable/Outline-Client.apk

2. Получите ключ доступа, который начинается с ss://, а затем скопируйте его. От mikrotik ninja: писать сюда

3. Откройте клиент Outline. Если ваш ключ доступа определился автоматически, нажмите "Подключиться". Если этого не произошло, вставьте ключ в поле и нажмите "Подключиться".

Теперь у вас есть доступ к свободному интернету. Чтобы убедиться, что вы подключились к серверу, введите в Google Поиске фразу "Какой у меня IP-адрес". IP-адрес, указанный в Google, должен совпадать с IP-адресом в клиенте Outline.

Дополнительные сведения можно найти на странице https://getoutline.org/.

kubesec Верификатор k8s манифестов

Может работать как бинарник на хосте, контейнер, плагин к kubectl или внешний http сервис. Есть даже AdmissionController, который позволяет проверять ресурсы на лету - при создании пода/деплоймента/демонсета/...

Проверяет манифесты на соответствие security best practices. Судя по гитхабу - можно дописать свои правила

#k8s #security

Немного тулзов, чтобы у твоего кубернетеса не было дыры в безопасности

- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа

- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги

- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам

#k8s #security #rbac

Ну и в догонку Kubernetes Hardening Guide от NSA

Ужас какой

Недавно мой товарищ поднял один достаточно интересный вопрос о решении ServiceMesh Istio, о котором мы с командой ранее даже не задумывались ввиду того что не эксплуатируем данное решения.

И так вопрос и ситуация следующая: Для работы istio-init контейнер, который добавляется во ВСЕ Pods в ServiceMesh, требует NET_ADMIN и NET_RAW capabilities, которые обычно рекомендуется забирать из-за их опасности (пример) ... При этом чаще всего когда системное приложение все же требует таких capabilities оно живет в своем отдельном namespace и его достаточно просто можно добавить в исключение в том же PolicyEngine. Но как вы понимаете в данной ситуации это будет ВЕЗДЕ - во всех namespaces с вашими прикладными микросервисами в ServiceMesh ...

Как с этим живете? Как это контролируете? Как спят ваши безопасники?)

P.S. В последствии я еще заметил, что там же runAsUser: 0, runAsGroup: 0, runAsNonRoot: false
P.S.S. Контролировать это можно, но надо постараться. Пост тут скорее чтобы обратить ваше внимание на эту ситуацию

Ловите промокод на 20% скидки на СKS. Возможно, прокатит и на другие экзамены от Linux Foundation.

20KODE

TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)

#security #credentials

Не могу вспомнить кто у меня недавно спрашивал можно ли сдать СKA из России. Вот что написано на сайте

Получается, что можно, но не из всей России. Если найдете способ оплатить

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Кажется, у kubernetes какие-то проблемы с CDN

Пять дней назад открыта ишью на то, что некоторых бинарников нет на некторых хранилищах.

Судя по всему - проблема в CDN k8s.io и с разных регионов недоступны разные бинари. А раз за пять дней они так и не разлили бинари по всем регионам, то напрашивается вывод, что проблемы чуть глубже, чем забыли залить эту версию на этот сервер