This media is not supported in your browser
VIEW IN TELEGRAM
What is Dive?
خب بازم یکمی راجب Security تو کانتینر ها حرف بزنیم ...
راههای مختلفی برای تحلیل ایمیجهای داکر وجود دارد. یکی از ابزارهایی که در تحلیل و مشاهده فایلها و لایههای مختلف ایمیج جهت حذف، ویرایش و تحلیل میتوانیم استفاده کنیم، dive است. هم از لحاظ امنیتی، هم از لحاظ DevOps، ابزاری بسیار کاربردی است. و حتی میتونید تغیراتی که هر لایه ایجاد کرده مشاهده کنید.
Link:
⚡https://github.com/wagoodman/dive
#container #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
خب بازم یکمی راجب Security تو کانتینر ها حرف بزنیم ...
راههای مختلفی برای تحلیل ایمیجهای داکر وجود دارد. یکی از ابزارهایی که در تحلیل و مشاهده فایلها و لایههای مختلف ایمیج جهت حذف، ویرایش و تحلیل میتوانیم استفاده کنیم، dive است. هم از لحاظ امنیتی، هم از لحاظ DevOps، ابزاری بسیار کاربردی است. و حتی میتونید تغیراتی که هر لایه ایجاد کرده مشاهده کنید.
Link:
⚡https://github.com/wagoodman/dive
#container #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
⚡️Cloud-Native Developer Tool For Kubernetes
What is DevSpace?
Building modern, distributed and highly scalable microservices with Kubernetes is hard - and it is even harder for large teams of developers. DevSpace is the next-generation tool for fast cloud-native software development.
DevSpace is a client-only, open-source developer tool for Kubernetes:
1️⃣Build, test and debug applications directly inside Kubernetes
2️⃣Develop with hot reloading: updates your running containers without rebuilding images or restarting containers
3️⃣Unify deployment workflows within your team and across dev, staging and production
4️⃣Automate repetitive tasks for image building and deployment
Links:
◾️https://github.com/loft-sh/devspace
◾️https://www.youtube.com/watch?v=kgfg8r6_zPk
#container #docker #kubernetes #opensource #devops #cloudnative
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
What is DevSpace?
Building modern, distributed and highly scalable microservices with Kubernetes is hard - and it is even harder for large teams of developers. DevSpace is the next-generation tool for fast cloud-native software development.
DevSpace is a client-only, open-source developer tool for Kubernetes:
1️⃣Build, test and debug applications directly inside Kubernetes
2️⃣Develop with hot reloading: updates your running containers without rebuilding images or restarting containers
3️⃣Unify deployment workflows within your team and across dev, staging and production
4️⃣Automate repetitive tasks for image building and deployment
Links:
◾️https://github.com/loft-sh/devspace
◾️https://www.youtube.com/watch?v=kgfg8r6_zPk
#container #docker #kubernetes #opensource #devops #cloudnative
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
⚠️خب چند وقتی هست که شاهد باگ های عجیبی در بحث Privilege Escalation از ابزار sudo هستیم یک آدم خیری ابزاری به نام SUDO_KILLER رو توسعه داده که در اصل روی ماشین شما این باگ هارو چک میکنه که آیا امکان اکسپلویت کردنشون هست یا نه !!
به دوستان سیس ادمین پیشنهاد میشه بررسی کنند که مبادا Misconfiguration داشته باشن
SUDO_KILLER is a tool that can be used for privilege escalation on the Linux environment by abusing SUDO in several ways. The tool helps to identify misconfiguration within sudo rules, vulnerability within the version of sudo being used (CVEs and vulns), and the use of dangerous binary, all of these could be abused to elevate privilege to ROOT.
New - 2021
◾️Detection for CVE-2021-3156 was added
◾️Detection for CVE-2021-23240 was added
◾️Exploit for CVE-2019-18634 was added
◾️Docker environment to test CVE-2019-18634 was added
◾️Video showing exploitation of CVE-2019-18634 was added
Links:
https://github.com/TH3xACE/SUDO_KILLER
#linux #security #opensource #devops #devsecops #sudo
〰️〰️〰️〰️〰️
©️ @DevOpsEx
به دوستان سیس ادمین پیشنهاد میشه بررسی کنند که مبادا Misconfiguration داشته باشن
SUDO_KILLER is a tool that can be used for privilege escalation on the Linux environment by abusing SUDO in several ways. The tool helps to identify misconfiguration within sudo rules, vulnerability within the version of sudo being used (CVEs and vulns), and the use of dangerous binary, all of these could be abused to elevate privilege to ROOT.
New - 2021
◾️Detection for CVE-2021-3156 was added
◾️Detection for CVE-2021-23240 was added
◾️Exploit for CVE-2019-18634 was added
◾️Docker environment to test CVE-2019-18634 was added
◾️Video showing exploitation of CVE-2019-18634 was added
Links:
https://github.com/TH3xACE/SUDO_KILLER
#linux #security #opensource #devops #devsecops #sudo
〰️〰️〰️〰️〰️
©️ @DevOpsEx
DevOps Security Tools
همانطور که همه دوستان مطلع هستند Vulnerability Assessment یکی از مهمترین تسکها در حیطه IT Security بوده و هست.
چند وقت پیش ابزار تحت عنوان trivy در بحث Container Vulnerability Scanning معرفی کردم خدمت دوستان.
امروز دو ابزار دیگر به نام های Anchore Engine و Clair را هم معرفی میکنم که به شدت ابزارهای جالبی در بحث Inspection و Analysis کانتینرها هستند.
اینبار میخوام مقالهای را به شما معرفی کنم که با استفاده از این 3 ابزار، Base Image های مختلف رو اسکن میکند و مقایسه میکند کدام یک دقیقتر و بهتر عمل میکنند !!
پ.ن یکی از مهم ترین کاربردهای این نوع ابزارها در بحث CI هست.
Links:
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
همانطور که همه دوستان مطلع هستند Vulnerability Assessment یکی از مهمترین تسکها در حیطه IT Security بوده و هست.
چند وقت پیش ابزار تحت عنوان trivy در بحث Container Vulnerability Scanning معرفی کردم خدمت دوستان.
امروز دو ابزار دیگر به نام های Anchore Engine و Clair را هم معرفی میکنم که به شدت ابزارهای جالبی در بحث Inspection و Analysis کانتینرها هستند.
اینبار میخوام مقالهای را به شما معرفی کنم که با استفاده از این 3 ابزار، Base Image های مختلف رو اسکن میکند و مقایسه میکند کدام یک دقیقتر و بهتر عمل میکنند !!
پ.ن یکی از مهم ترین کاربردهای این نوع ابزارها در بحث CI هست.
Links:
✅https://raesene.github.io/blog/2020/06/21/Container_Vulnerability_Scanning_Fun/
◾️https://medium.com/dev-genius/vulnerability-management-of-containers-using-opensource-1d864ccaaf83#container #ci #docker #security #opensource #devops #devsecops
◾️https://medium.com/@matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
Docker Container’s Filesystem Demystified
موضوعی که میخواهیم باهم بررسی کنیم، کانسپتی هست تحت عنوان Storage Driver ها در اکوسیستم داکر !! تمام هدف این است که داکر بتواند نوعی فایل سیستم مناسب برای کانتینر ما فراهم آورد. درایوری که داکر در حال حاظر از آن استفاده میکند، در اصل نوعی Union FS تحت عنوان OverlayFS است. گرچه موارد مشابهی نیز مانند aufs و devicemapper و ... نیز وجود داشته و دارند اما داکر با اضافه کردن تغییراتی در این فایل سیستم بخصوص برای مثال اضافه کردن و بهبود قابلیتهایی چون Page Caching و ... نسخهای تحت عنوان overlay2 را ایجاد نموده و در نسخ جدید از آن استفاده میکند. درک درست سازوکار نهفته در این نوع فایل سیستمها برای مثال عملیات CoW و ... میتواند در بالا بردن پرفورمنس سرویس هایی چون OSS و ... بسیار مفید و حیاتی باشد. در ادامه چندین مقاله مفید و بنچمارک های مختلف آورده شده است که میتوانید از آنها استفاده کنید.
Main Links:
◾️Link 1 Link 2 Link 3 Link 4
Benchmark Links:
◾️Link 1 Link 2 Link 3
#container #docker #opensource #devops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
موضوعی که میخواهیم باهم بررسی کنیم، کانسپتی هست تحت عنوان Storage Driver ها در اکوسیستم داکر !! تمام هدف این است که داکر بتواند نوعی فایل سیستم مناسب برای کانتینر ما فراهم آورد. درایوری که داکر در حال حاظر از آن استفاده میکند، در اصل نوعی Union FS تحت عنوان OverlayFS است. گرچه موارد مشابهی نیز مانند aufs و devicemapper و ... نیز وجود داشته و دارند اما داکر با اضافه کردن تغییراتی در این فایل سیستم بخصوص برای مثال اضافه کردن و بهبود قابلیتهایی چون Page Caching و ... نسخهای تحت عنوان overlay2 را ایجاد نموده و در نسخ جدید از آن استفاده میکند. درک درست سازوکار نهفته در این نوع فایل سیستمها برای مثال عملیات CoW و ... میتواند در بالا بردن پرفورمنس سرویس هایی چون OSS و ... بسیار مفید و حیاتی باشد. در ادامه چندین مقاله مفید و بنچمارک های مختلف آورده شده است که میتوانید از آنها استفاده کنید.
Main Links:
◾️Link 1 Link 2 Link 3 Link 4
Benchmark Links:
◾️Link 1 Link 2 Link 3
#container #docker #opensource #devops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
OverlayFS Implementation Vulnerability (CVE-2021-3493)
اکسپلویتی جهت بالا بردن سطح دسترسی تا حتی روت با استفاده از Ubuntu OverlayFS که نسخ مختلف زیر رو در برمیگیره:
Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
البته این آسیب پذیری چند روزی هست پچ شده و حتما سعی کنید اوبونتو خودتان را آپدیت کنید. قابل ذکر هم هست که این آسیب پذیری صرفا تو توزیع های Ubuntu Base وجود داره و نه RHEL.
Patch:
Link 1 Link 2 Link 3
Source:
@securation
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
اکسپلویتی جهت بالا بردن سطح دسترسی تا حتی روت با استفاده از Ubuntu OverlayFS که نسخ مختلف زیر رو در برمیگیره:
Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
البته این آسیب پذیری چند روزی هست پچ شده و حتما سعی کنید اوبونتو خودتان را آپدیت کنید. قابل ذکر هم هست که این آسیب پذیری صرفا تو توزیع های Ubuntu Base وجود داره و نه RHEL.
Patch:
# sudo apt install linux-image-5.6.0-1055-oem
# sudo reboot
Links:Link 1 Link 2 Link 3
Source:
@securation
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
This media is not supported in your browser
VIEW IN TELEGRAM
یکی از مباحثی که همیشه تو زمینه Container Security جای خالی آن حس میشده، بحث Container Image Signing بوده است. این مبحث که بتوانیم آرتیفکتهایی چون ایمیج هامون رو Sign کنیم و در طول کار باهاشون، آنهارو Verify بکنیم، جزو مباحثی است که به شدت در حوزه هایی چون CI و ... کاربردی است. قابل ذکر است که پروژه Moby در حال توسعه چنین مکانیزمی میباشد، پروژهای تحت عنوان Notary که خب مطمئن نیستم که هنوز بصورت Stable منتشر شده باشد!!
اما پروژه مد نظر ما پروژه ایست با نام Cosign زیر مجموعه شرکت Sigstore که بصورت تخصصی روی مبحث Software Signing و Transparency Service فعالیت دارند. ارزش یکبار نگاه کردن را دارد شک نکنید.🤘🤘
Link:
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
اما پروژه مد نظر ما پروژه ایست با نام Cosign زیر مجموعه شرکت Sigstore که بصورت تخصصی روی مبحث Software Signing و Transparency Service فعالیت دارند. ارزش یکبار نگاه کردن را دارد شک نکنید.🤘🤘
Link:
◾️https://raesene.github.io/blog/2021/03/21/Trying-out-cosign/#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
Enterprise Security Architecture | Vahid Nameni
خب چند وقته پیش یکی از افراد فعال در حوزه DevSecOps به نام آقای وحید نامنی یک وبینار به حالت پرسش و پاسخ در یوتیوب برگذار کردند که گفتم قرار بدهم تا دوستانی که علاقه دارند بتونن از حرفای ایشون استفاده کنند. تاپیک هایی که سمت فیلد Container Security ها ایشون مطرح میکنند بسیار مفید هست و اواسط Talk راجب اینکه چه چیز هایی باید در این مسیر یاد بگیرید و بلد باشید هم اشاراتی میکنن و یک نقشه راه معرفی میکنن. این Talk رو میتونید از لینک زیر مشاهده کنید.
ویدیو اصلی:
◾️
📲@livesecuritytalks
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
خب چند وقته پیش یکی از افراد فعال در حوزه DevSecOps به نام آقای وحید نامنی یک وبینار به حالت پرسش و پاسخ در یوتیوب برگذار کردند که گفتم قرار بدهم تا دوستانی که علاقه دارند بتونن از حرفای ایشون استفاده کنند. تاپیک هایی که سمت فیلد Container Security ها ایشون مطرح میکنند بسیار مفید هست و اواسط Talk راجب اینکه چه چیز هایی باید در این مسیر یاد بگیرید و بلد باشید هم اشاراتی میکنن و یک نقشه راه معرفی میکنن. این Talk رو میتونید از لینک زیر مشاهده کنید.
ویدیو اصلی:
◾️
https://www.youtube.com/watch?v=QmByS5JxxAY&t=3421s
برگذار کننده اصلی اینگونه Talk ها:📲@livesecuritytalks
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
⚡️YoR ⚡️
Automated IaC Tag And Trace!
وقتی از زیرساختهای ابری در مقیاس بالا و از چندین Provider مختلف استفاده میکنیم، ابزارهایی مثل Terraform که در اصل یکی از انواع ابزارهای IaC هستند، کلی در زمان صرفه جویی میکنند و کارها را سریعتر و بصورت Automate شده انجام میدهند. ولی از لحاظ امنیتی Security Misconfiguration های زیادی هم در این حین پدید میآیند.
ابزار زیر در جهت پیدا کردن بخشی از این مشکلات به شما کمک خواهد کرد:
Link:
◾️
Vahid Nameni
#IaC #security #devops #devsecops
〰️〰️〰️〰️〰️
©️ @DevOpsEx
Automated IaC Tag And Trace!
وقتی از زیرساختهای ابری در مقیاس بالا و از چندین Provider مختلف استفاده میکنیم، ابزارهایی مثل Terraform که در اصل یکی از انواع ابزارهای IaC هستند، کلی در زمان صرفه جویی میکنند و کارها را سریعتر و بصورت Automate شده انجام میدهند. ولی از لحاظ امنیتی Security Misconfiguration های زیادی هم در این حین پدید میآیند.
ابزار زیر در جهت پیدا کردن بخشی از این مشکلات به شما کمک خواهد کرد:
Link:
◾️
https://yor.io/
◾️https://github.com/bridgecrewio/yor
Source:Vahid Nameni
#IaC #security #devops #devsecops
〰️〰️〰️〰️〰️
©️ @DevOpsEx
A Comparison Of Linux Container Images❗️
چند وقته پیش به نوشته جالبی از آقای Scott McCarty برخورد کردم گفتم بزارم شاید دوستان هم استفاده کردند. موضوع مورد بحث این هست که ایشون یک مقایسه بسیار جالب از تمام Container Image های Base انجام دادهاند و از جهاتی چون موارد زیر آنهارو مقایسه کردهاند:
Architecture
Security
Binary Hardening
Performance
نکته جالبی هم راجب بحث ایمیج های DistroLess ارائه دادند که خوندنش خالی از لطف نبوده و دید نسبتا خوب و کاملی در انتخاب یک Base ایمیج متناسب با کارتون به شما میدهد.
ضمنا ایشون Content های به شدت پرمحتوایی در زمینه Container Internals و Container Standards ها دارن که میتونید در چنل یوتیوبشون اونهارو هم مطالعه کنید و استفاده کنید.
Link:
◾️
◾️
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
چند وقته پیش به نوشته جالبی از آقای Scott McCarty برخورد کردم گفتم بزارم شاید دوستان هم استفاده کردند. موضوع مورد بحث این هست که ایشون یک مقایسه بسیار جالب از تمام Container Image های Base انجام دادهاند و از جهاتی چون موارد زیر آنهارو مقایسه کردهاند:
Architecture
Security
Binary Hardening
Performance
نکته جالبی هم راجب بحث ایمیج های DistroLess ارائه دادند که خوندنش خالی از لطف نبوده و دید نسبتا خوب و کاملی در انتخاب یک Base ایمیج متناسب با کارتون به شما میدهد.
ضمنا ایشون Content های به شدت پرمحتوایی در زمینه Container Internals و Container Standards ها دارن که میتونید در چنل یوتیوبشون اونهارو هم مطالعه کنید و استفاده کنید.
Link:
◾️
https://crunchtools.com/comparison-linux-container-images/
Youtube Channel:◾️
https://www.youtube.com/channel/UCkWQhDzOxooYHp5LrTqnkdg
#container #docker #opensource #devops 〰️〰️〰️〰️〰️〰️
© @DevOpsEx
✔️ دوآپس به زبان ساده چیست؟ و از کجا اومد؟
🔶 اگه به هر نحوی با حوزه IT و نرمافزار سروکار دارید، آشنایی با اصول و فرهنگ DevOps برای توسعه چابک محصولات نرمافزاری از نون شب واجب تر هست.
🔥 ویدئو دوآپس به زبان ساده چیست رو از دست ندید
🖥 مشاهده در یوتوب:
👉 Link: https://www.youtube.com/watch?v=8PRC_Ot_yUc
با لایک و کامنت یوتوب انرژیمون رو چند برابر میکنید 😍
#devops #دوآپس #agile #software #دواپس
〰️〰️〰️〰️〰️
©️ @DevOpsEx | @AI_Python
🔶 اگه به هر نحوی با حوزه IT و نرمافزار سروکار دارید، آشنایی با اصول و فرهنگ DevOps برای توسعه چابک محصولات نرمافزاری از نون شب واجب تر هست.
🔥 ویدئو دوآپس به زبان ساده چیست رو از دست ندید
🖥 مشاهده در یوتوب:
👉 Link: https://www.youtube.com/watch?v=8PRC_Ot_yUc
با لایک و کامنت یوتوب انرژیمون رو چند برابر میکنید 😍
#devops #دوآپس #agile #software #دواپس
〰️〰️〰️〰️〰️
©️ @DevOpsEx | @AI_Python
همیشه برام جالب بود که دلیل اصلی اینکه پلتفرم هایی مثل کوبرنتیز و یا داکر سرویس هایی رو تحت عنوان docker-proxy و kube-proxy نوشتن و هدف نهایی پشت این سرویس ها چی بوده و از چه مشکلاتی جلوگیری می کنن؟
کار مهمی که امروزه این سرویسها انجام میدن این هست که بقولی ما بتونیم حتی از طریق Local Network به اون پاد یا کانتینر مد نظرمون برسیم ( مشخصا این سرویس ها وظایف دیگهای رو هم بر عهده دارند! ) چیزی که به شکل دیفالت در لینوکس ممکن نیست چرا که کرنل با پکت هایی که از شبکه داخلی آمده باشن 127.0.0.1/8 به شکلی خاصی رفتار میکنه چیزی که به ظاهر از RFC 1122 مقرر شده اینگونه باشه. به زبانی ساده تر، یک نود در شبکه هیچوقت پکتی که آدرس Destination اون 127.0.0.1 رو نمیتونه Transmit بکنه و به اصطلاح اون رو Drop میکنه.
ولی خب چیزی که همیشه مد نظرم بود ما بجای اینکه سرویسهایی بنویسیم مثل همون Proxy ها میتونیم به راحتی با ست کردن یک متغیر sysctl به نام route_localnet و یکمی بازی با IPTables مشکل رو حل کنیم یا دور بزنیم و به کانتینر مد نظرمون از طریق Localhost برسیم.
و خب بعد از حدود یک هفته تحقیق فهمیدم که در سال 2020 یک CVE-2020-8558 تحت همین سناریو بیرون آمد که اگر داکر یا کوبر با این متغیر کار بکنن چه مشکلی پیش میاد.
A flaw was found in Kubernetes that allows attackers on adjacent networks to reach services exposed on localhost ports, previously thought to be unreachable. This flaw allows an attacker to gain privileges or access confidential information for any services listening on localhost ports that are not protected by authentication.
و چقدر اون موقع به شکل راحتی سرویسهایی که به 127.0.0.1 به اصطلاح Bind شدن بدون هیچگونه Authentication و یا Encryption ای میتونن Expose بشن به خودی خود! که خب همین عامل باعث شد که داکر و یا کوبر سرویس هایی رو برای مدیریت بهتر این مشکلات بنویسن چرا که لینوکس به شکل دیفالت حتی Rule های IPTables رو برای پکت های Local Network در نظر نمیگیره !!
CVE-2020-8558:
◾️Link 1 Link 2
For More Info:
◾️Link 3
#container #docker #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
کار مهمی که امروزه این سرویسها انجام میدن این هست که بقولی ما بتونیم حتی از طریق Local Network به اون پاد یا کانتینر مد نظرمون برسیم ( مشخصا این سرویس ها وظایف دیگهای رو هم بر عهده دارند! ) چیزی که به شکل دیفالت در لینوکس ممکن نیست چرا که کرنل با پکت هایی که از شبکه داخلی آمده باشن 127.0.0.1/8 به شکلی خاصی رفتار میکنه چیزی که به ظاهر از RFC 1122 مقرر شده اینگونه باشه. به زبانی ساده تر، یک نود در شبکه هیچوقت پکتی که آدرس Destination اون 127.0.0.1 رو نمیتونه Transmit بکنه و به اصطلاح اون رو Drop میکنه.
ولی خب چیزی که همیشه مد نظرم بود ما بجای اینکه سرویسهایی بنویسیم مثل همون Proxy ها میتونیم به راحتی با ست کردن یک متغیر sysctl به نام route_localnet و یکمی بازی با IPTables مشکل رو حل کنیم یا دور بزنیم و به کانتینر مد نظرمون از طریق Localhost برسیم.
و خب بعد از حدود یک هفته تحقیق فهمیدم که در سال 2020 یک CVE-2020-8558 تحت همین سناریو بیرون آمد که اگر داکر یا کوبر با این متغیر کار بکنن چه مشکلی پیش میاد.
A flaw was found in Kubernetes that allows attackers on adjacent networks to reach services exposed on localhost ports, previously thought to be unreachable. This flaw allows an attacker to gain privileges or access confidential information for any services listening on localhost ports that are not protected by authentication.
و چقدر اون موقع به شکل راحتی سرویسهایی که به 127.0.0.1 به اصطلاح Bind شدن بدون هیچگونه Authentication و یا Encryption ای میتونن Expose بشن به خودی خود! که خب همین عامل باعث شد که داکر و یا کوبر سرویس هایی رو برای مدیریت بهتر این مشکلات بنویسن چرا که لینوکس به شکل دیفالت حتی Rule های IPTables رو برای پکت های Local Network در نظر نمیگیره !!
CVE-2020-8558:
◾️Link 1 Link 2
For More Info:
◾️Link 3
#container #docker #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
Dustin Specker
iptables: How Docker Publishes Ports
The next question to answer after writing How do Kubernetes and Docker create IP Addresses?! is “How does Docker handle publishing ports?”
In the previous post, we created our own network namespaces, virtual interfaces, and assigned IP addresses to these…
In the previous post, we created our own network namespaces, virtual interfaces, and assigned IP addresses to these…
DevOps Expert
خب همه مطمئنا با انواع تایپ و مدل های پروکسی در اکوسیستم کوبرنتیز مثل kubectl proxy و apiserver proxy و از همه مهم تر ماژولی تحت عنوان kube-proxy آشنا هستیم و خب این موضوع رو هم میدونیم که بخش های عمده و مهمی از جادوی پشت بحث networking کوبر مثل بحث ریسورس…
Proxies in Kubernetes
◾️
◾️
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
◾️
https://kubernetes.io/docs/concepts/cluster-administration/proxies/
Cracking Kubernetes Node Proxy (aka kube-proxy)◾️https://arthurchiao.art/blog/cracking-k8s-node-proxy/Connection Tracking (conntrack)
◾️https://arthurchiao.art/blog/conntrack-design-and-implementation/
A Deep Dive into Iptables and Netfilter Architecture◾️https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture
Awesome BPF Resources◾️
https://arthurchiao.art/blog/awesome-bpf/
#container #kubernetes #opensource #devops #devsecops #networking〰️〰️〰️〰️〰️〰️
© @DevOpsEx
⚡️What is DevSecOps?⚡️
DevSecOps stands for development, security, and operations. It's an approach to culture, automation, and platform design that integrates security as a shared responsibility throughout the entire IT lifecycle.
DevSecOps means thinking about application and infrastructure security from the start. It also means automating some security gates to keep the DevOps workflow from slowing down. Selecting the right tools to continuously integrate security, like agreeing on an integrated development environment (IDE) with security features, can help meet these goals. However, effective DevOps security requires more than new tools—it builds on the cultural changes of DevOps to integrate the work of security teams sooner rather than later.
Refs:
◾️DevSecOps Redhat
◾️GitHub Repo Resources
◾️OWASP DevSecOps
◾️DevSecOps Culture
◾️DevSecOps GitHub
#DevOps #DevSecOps #Security #Development #Operation #IT #Lifecycle #ITLifecycle #Hardening
〰️〰️〰️〰️〰️
©️ @DevOpsEx
DevSecOps stands for development, security, and operations. It's an approach to culture, automation, and platform design that integrates security as a shared responsibility throughout the entire IT lifecycle.
DevSecOps means thinking about application and infrastructure security from the start. It also means automating some security gates to keep the DevOps workflow from slowing down. Selecting the right tools to continuously integrate security, like agreeing on an integrated development environment (IDE) with security features, can help meet these goals. However, effective DevOps security requires more than new tools—it builds on the cultural changes of DevOps to integrate the work of security teams sooner rather than later.
Refs:
◾️DevSecOps Redhat
◾️GitHub Repo Resources
◾️OWASP DevSecOps
◾️DevSecOps Culture
◾️DevSecOps GitHub
#DevOps #DevSecOps #Security #Development #Operation #IT #Lifecycle #ITLifecycle #Hardening
〰️〰️〰️〰️〰️
©️ @DevOpsEx
⚡️A Linux SysAdmin's Introduction To Cgroups⚡️
Control groups (cgroups) are a Linux kernel mechanism for fine-grained control of resources. Originally put forward by Google engineers in 2006, cgroups were eventually merged into the Linux kernel around 2007.
While there are currently two versions of cgroups, most distributions and mechanisms use version 1, as it has been in the kernel since 2.6.24. Like with most things added into the mainline kernel, there was not a huge adoption rate at first.
Version 2 continues this trend, having been around for almost half a decade but still not widely deployed.
Links:
〰️〰️〰️〰️〰️
©️ @DevOpsEx
Control groups (cgroups) are a Linux kernel mechanism for fine-grained control of resources. Originally put forward by Google engineers in 2006, cgroups were eventually merged into the Linux kernel around 2007.
While there are currently two versions of cgroups, most distributions and mechanisms use version 1, as it has been in the kernel since 2.6.24. Like with most things added into the mainline kernel, there was not a huge adoption rate at first.
Version 2 continues this trend, having been around for almost half a decade but still not widely deployed.
Links:
◾️https://www.redhat.com/sysadmin/cgroups-part-one
◾️https://www.redhat.com/sysadmin/cgroups-part-two
◾️https://www.redhat.com/sysadmin/cgroups-part-three
◾️https://www.redhat.com/sysadmin/cgroups-part-four
Pic Source:◻️https://twitter.com/b0rk#DevOps #DevSecOps #Security #Development #Operation #IT #Linux #Kernel
〰️〰️〰️〰️〰️
©️ @DevOpsEx
✔️ آموزش CI/CD به زبان ساده
دوره جدید و آپدیت شده CI/CD رو توی یوتوب شروع کردم ✌️
در اولین ویدئو به سراغ آموزش مفاهیم بنیادین CI/CD میریم
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/pBpadEF5x9A
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
دوره جدید و آپدیت شده CI/CD رو توی یوتوب شروع کردم ✌️
در اولین ویدئو به سراغ آموزش مفاهیم بنیادین CI/CD میریم
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/pBpadEF5x9A
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
✔️ تفاوت استقرار مداوم و تحویل مداوم نرمافزار در CI/CD
در این ویدئو به سراغ یکی از مهمترین بخشهای CI/CD میریم
و راجع به نحوه آپدیت محصولات شرکت گوگل نظیر Gmail و YouTube صحبت میکنیم
و تفاوت بین Continuous Deployment و Continuous Delivery رو از جنبه های تکنیکال و بیزینس بررسی میکنیم.
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/IXIYXZC0FJU
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
در این ویدئو به سراغ یکی از مهمترین بخشهای CI/CD میریم
و راجع به نحوه آپدیت محصولات شرکت گوگل نظیر Gmail و YouTube صحبت میکنیم
و تفاوت بین Continuous Deployment و Continuous Delivery رو از جنبه های تکنیکال و بیزینس بررسی میکنیم.
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/IXIYXZC0FJU
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
✔️ پایپ لاین ایدهآل CI/CD
در این ویدئو به بررسی یک پایپلاین ایدهآل CI/CD میپردازیم و راجع به انواع تستهای پرکاربرد نرمافزار نظیر:
1. Unit Test
2. Integration Test
3. End-to-End Test
4. Smoke Test
5. Security Test
6. White-box & Black-box Test
7. Performance Test
8. Scalibility Test
9. Load Test
10. Stress Test
11. etc.
صحبت میکنیم.
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/Zrtdon8XH4M
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
در این ویدئو به بررسی یک پایپلاین ایدهآل CI/CD میپردازیم و راجع به انواع تستهای پرکاربرد نرمافزار نظیر:
1. Unit Test
2. Integration Test
3. End-to-End Test
4. Smoke Test
5. Security Test
6. White-box & Black-box Test
7. Performance Test
8. Scalibility Test
9. Load Test
10. Stress Test
11. etc.
صحبت میکنیم.
🖥 مشاهده در یوتوب
👉 Link: https://youtu.be/Zrtdon8XH4M
#devops #CICD #دوآپس
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
خب بعد از چند وقت بریم سراغ ادامه تاپیک جذاب همیشگی یعنی Container Networking ولی اینبار یکمی دقیقتر راجب طرز پیادهسازیش تو Kubernetes و نگاهی به بخشی از بقولی Under The Hood مکانیزمهای استفادهشده برای تحقق این موضوع، چیزهایی مثل طرز پیادهسازی سرویس Kube-Proxy تو دو مد iptables و IPVS و تفاوتهاشون به شکل دقیق و همینطور روشهایی که CNI هایی مثل Calico برای Advertise کردن CIDR پاد استفاده میکنن یعنی دو تکنولوژی BGP و BIRD و درنهایت پیادهسازی OverLay Network به کمک مفاهیمی چون VXLAN و IPinIP.
◽️این پست ادامه بحث این پسته.
◽️عمده ریسورسهای معرفیشده در لینکهای زیر توسط آقای Dustin Specker نوشته شده است یکی از بهترینهای این حوزه!
⚡️Links⚡️
Container Networking Series:
◾️
◾️
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
◽️این پست ادامه بحث این پسته.
◽️عمده ریسورسهای معرفیشده در لینکهای زیر توسط آقای Dustin Specker نوشته شده است یکی از بهترینهای این حوزه!
⚡️Links⚡️
Container Networking Series:
...◾️
iptables: How Kubernetes Services Direct Traffic to Pods
IPVS: How Kubernetes Services Direct Traffic to Pods
Kubernetes Networking from Scratch: Using BGP and BIRD to Advertise Pod Routes
...
https://dustinspecker.com/series/container-networking/
Deep Dive Kube-Proxy With iptables Mode:◾️
https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/
Container Networking From Scratch - Kristen Jacobs:◾️
https://www.youtube.com/watch?v=6v_BDHIgOY8
#container #kubernetes #opensource #devops #devsecops #networking〰️〰️〰️〰️〰️〰️
© @DevOpsEx
Telegram
DevOps Expert in DevOps Expert General Group
خب همه مطمئنا با انواع تایپ و مدل های پروکسی در اکوسیستم کوبرنتیز مثل kubectl proxy و apiserver proxy و از همه مهم تر ماژولی تحت عنوان kube-proxy آشنا هستیم و خب این موضوع رو هم میدونیم که بخش های عمده و مهمی از جادوی پشت بحث networking کوبر مثل بحث ریسورس…
⚡️PrometheusIO⚡️
خب اینبار یکمی تو مباحث Monitoring عمیق بشیم به شکل خاص ابزار Prometheus و ببینیم Under The Hood به چه شکلی داره کار میکنه و TSDB که خودشون بصورت Native پیادهسازی کردن به چه شکل هست؟ یا اصلا TSDB هست یا نه؟! یکمی تاریخچه توسعه Prometheus رو مرور کنیم باهم! در نهایت هم یکمی بهتر و عمیق تر مدل Data & Query پیادهسازی شده تو Prometheus (با استفاده از PromQL) رو درک کنیم و یه منبع خوب هم از Trick ها و Insight های باارزش در پیادهسازی و کار با Prometheus رو داشته باشیم باهم!
◾️Brief Illustrated History Of Prometheus by Martin Chodúr
◾️Prometheus TSDB Under The Hood 7 Parts by Ganesh Vernekar
◾️Learning Series Of Prometheus and PromQL by Ivan Velichko
◾️Prometheus Data & Query Model Twitter Thread by Ivan Velichko
◾️Get The Most Out Of Your Prometheus by Brian Brazil
پ.ن: تمامی افراد ذکر شده یا از Core Developer های خوده پروژه Prometheus و یا شرکت Grafana هستند یا از Contributor های پروژه Prometheus 🌹🤘
#linux #monitoring #tsdb #devops #prometheus
〰️〰️〰️〰️〰️〰️
© @DevOpsEx
خب اینبار یکمی تو مباحث Monitoring عمیق بشیم به شکل خاص ابزار Prometheus و ببینیم Under The Hood به چه شکلی داره کار میکنه و TSDB که خودشون بصورت Native پیادهسازی کردن به چه شکل هست؟ یا اصلا TSDB هست یا نه؟! یکمی تاریخچه توسعه Prometheus رو مرور کنیم باهم! در نهایت هم یکمی بهتر و عمیق تر مدل Data & Query پیادهسازی شده تو Prometheus (با استفاده از PromQL) رو درک کنیم و یه منبع خوب هم از Trick ها و Insight های باارزش در پیادهسازی و کار با Prometheus رو داشته باشیم باهم!
◾️Brief Illustrated History Of Prometheus by Martin Chodúr
◾️Prometheus TSDB Under The Hood 7 Parts by Ganesh Vernekar
◾️Learning Series Of Prometheus and PromQL by Ivan Velichko
◾️Prometheus Data & Query Model Twitter Thread by Ivan Velichko
◾️Get The Most Out Of Your Prometheus by Brian Brazil
پ.ن: تمامی افراد ذکر شده یا از Core Developer های خوده پروژه Prometheus و یا شرکت Grafana هستند یا از Contributor های پروژه Prometheus 🌹🤘
#linux #monitoring #tsdb #devops #prometheus
〰️〰️〰️〰️〰️〰️
© @DevOpsEx