Выложили доклады с eBPF Summit 2023

https://www.youtube.com/playlist?list=PLDg_GiBbAx-l4D4oKbscJhPFKv2oqPcD_

Программа доступна тут
https://ebpf.io/summit-2023-schedule/

Часто приходят с вопросами про VPN. Я устал говорить, что не занимаюсь этим. Зато занимается один мой хороший товарищ. Дальше его текст. Не реклама, просто хочу помочь обеим сторонам.


Итак, я допилил новый сервер VPN. Для подключения необходимо выполнить инструкции ниже. Старый продолжает работать, но стабильность гарантировать не могу, т.к. РКН блокирует протокол WireGuard.
Принципы прежние: не делай глупостей под VPN, регулярные донаты улучшают твою карму, делиться VPN можно и нужно - информация должна быть свободной. Спасибо за поддержку и участие.

Чтобы безопасно подключиться к интернету, используйте этот сервер.

1. Скачайте и установите на устройство приложение Outline:

iOS: https://itunes.apple.com/app/outline-app/id1356177741
macOS: https://itunes.apple.com/app/outline-app/id1356178125
Windows: https://s3.amazonaws.com/outline-releases/client/windows/stable/Outline-Client.exe
Linux: https://s3.amazonaws.com/outline-releases/client/linux/stable/Outline-Client.AppImage
Android: https://play.google.com/store/apps/details?id=org.outline.android.client
Дополнительная ссылка для Android: https://s3.amazonaws.com/outline-releases/client/android/stable/Outline-Client.apk

2. Получите ключ доступа, который начинается с ss://, а затем скопируйте его. От mikrotik ninja: писать сюда

3. Откройте клиент Outline. Если ваш ключ доступа определился автоматически, нажмите "Подключиться". Если этого не произошло, вставьте ключ в поле и нажмите "Подключиться".

Теперь у вас есть доступ к свободному интернету. Чтобы убедиться, что вы подключились к серверу, введите в Google Поиске фразу "Какой у меня IP-адрес". IP-адрес, указанный в Google, должен совпадать с IP-адресом в клиенте Outline.

Дополнительные сведения можно найти на странице https://getoutline.org/.

kubesec Верификатор k8s манифестов

Может работать как бинарник на хосте, контейнер, плагин к kubectl или внешний http сервис. Есть даже AdmissionController, который позволяет проверять ресурсы на лету - при создании пода/деплоймента/демонсета/...

Проверяет манифесты на соответствие security best practices. Судя по гитхабу - можно дописать свои правила

#k8s #security

Немного тулзов, чтобы у твоего кубернетеса не было дыры в безопасности

- rbac-manager - оператор для удобной работы с RBAC. Позволяет биндить роли по лейблам на ресурсах, создавать биндинги в разных неймспейсах из одного манифеста и по-другому упрощает жизнь кластер админа

- rbac-lookup - CLI утилита для просмотра прав юзеров. Одной строкой выводит все биндинги

- audit2rbac - читает аудит логи к8с и генерирует RBAC исходя из того, что нужно юзерам

#k8s #security #rbac

Ну и в догонку Kubernetes Hardening Guide от NSA

Ужас какой

Недавно мой товарищ поднял один достаточно интересный вопрос о решении ServiceMesh Istio, о котором мы с командой ранее даже не задумывались ввиду того что не эксплуатируем данное решения.

И так вопрос и ситуация следующая: Для работы istio-init контейнер, который добавляется во ВСЕ Pods в ServiceMesh, требует NET_ADMIN и NET_RAW capabilities, которые обычно рекомендуется забирать из-за их опасности (пример) ... При этом чаще всего когда системное приложение все же требует таких capabilities оно живет в своем отдельном namespace и его достаточно просто можно добавить в исключение в том же PolicyEngine. Но как вы понимаете в данной ситуации это будет ВЕЗДЕ - во всех namespaces с вашими прикладными микросервисами в ServiceMesh ...

Как с этим живете? Как это контролируете? Как спят ваши безопасники?)

P.S. В последствии я еще заметил, что там же runAsUser: 0, runAsGroup: 0, runAsNonRoot: false
P.S.S. Контролировать это можно, но надо постараться. Пост тут скорее чтобы обратить ваше внимание на эту ситуацию

Ловите промокод на 20% скидки на СKS. Возможно, прокатит и на другие экзамены от Linux Foundation.

20KODE

TruffleHog - поиск credentials в
- git
- github
- gitlab
- docker
- S3
- filesystem (files and directories)
- syslog
- circleci
- GCS (Google Cloud Storage)

#security #credentials

Не могу вспомнить кто у меня недавно спрашивал можно ли сдать СKA из России. Вот что написано на сайте

Получается, что можно, но не из всей России. Если найдете способ оплатить

Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.

Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.

Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.

Мораль:

1. Проверяйте фингерпринты сертификатов даже если лень.

2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.

Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.

Пост на HN: https://news.ycombinator.com/item?id=37955264

Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/

Кажется, у kubernetes какие-то проблемы с CDN

Пять дней назад открыта ишью на то, что некоторых бинарников нет на некторых хранилищах.

Судя по всему - проблема в CDN k8s.io и с разных регионов недоступны разные бинари. А раз за пять дней они так и не разлили бинари по всем регионам, то напрашивается вывод, что проблемы чуть глубже, чем забыли залить эту версию на этот сервер

Сообщают, что ТТК в Магнитогорске сломался. Сильно сломался.

Судя по всему, проблема у ТТК глобальная. Затронуло всю сеть - не только Магнитку

UPD: Говорят, только внутрнняя инфра легла. Транспорт работает. Расходимся, пока всё в порядке

В CloudFlare изобрели шифрование с помощью светильников

У kodekloud есть бесплатная платформа для проверки знаний в контексте СKS. Четыре лабы с заданиями на
- network policies
- RBAC
- seccomp
- AppArmor
- Aquasec Trivy
- Kubesec
- CIS Benchmarks
- Falco

#CKS

Тут опять в соседнем чате возникло обсуждение, что читать/смотреть для осознания базовых фундаментальных вещей, если в школе ковырял в носу, а теперь прижало и надо вот прямо сейчас.
И как обычно всё свалилось к лекциям MIT и всяким Фейнманам, на что имею сказать, что есть бомбический teach-in от МГУ, где всё то же самое, только на родном языке. Визуалам – видосики, любителям читать – текст лекции. От школьной математики до матана и квантовой физики. Всё настолько разжёвано и на пальцах, что за выходные можно наверстать все упущения молодости.
P.S. Я тут узнал, что в школах активно вводят маркерные доски. Где подписать петицию, чтобы у детей не отнимали кайф покидаться меловой тряпкой? А то что это за школа такая, где дети мела не нюхали...

https://teach-in.ru/#category-physics

Подъехали записи с OpenSysConf 23
Спасибо всем причастным!
https://www.youtube.com/playlist?list=PL8ma-LO-KRZZtazWADJIAIAaj4_pgxCFG

А в лучшем чате для девопсов и сисадминов сегодня показали как в git откатиться до любого состояния. Даже после git reset —hard

git reflog

https://stackoverflow.com/questions/5473/how-can-i-undo-git-reset-hard-head1

#git