Docker Security Tools
خب به عنوان اولین پستم تو انجمن !
📌دوست دارم یکی از ابزار های خوبی که تو بحث DevSecOps مطرح است را خدمتتان معرفی کنم که به اسم trivy شناخته می‌شود. این فریم ورک بطور کلی برای اسکن کانتینر ها و ایمیج های داکری و حتی Artifact های مختلف دیگه استفاده می‌شود و همینطور برای CI نیز مناسب هست. سعی کنید حتما از این ابزار فوق العاده در پروژه‌های خود استفاده کنید چرا که رعایت فاکتور های امنیتی حتی در پلتفرم های ایزوله‌ای چون کانتینر ها نیز مهم است ...
موفق و پیروز باشید🤘
Link:
https://github.com/aquasecurity/trivy
#container #ci #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

An Angry Docker Whale Whos Attacking The Iptables
داشتم مقاله‌ای رو مطالعه می‌کردم از اینکه چرا داکر با فایروال به خوبی کنار نمیاد برام جالب بود چون آخر مقاله یک لینک از داکیومنت اصلی داکر قرار داد و گفت که تمام مشکلات از چه چیزی هست و روش درست کردنش هم گفته جمله هم این بود
"Prevent Docker From Manipulating IPtables"
حتما مطالعه کنید:
✅Link1: https://medium.com/@erfansahaf/why-docker-and-firewall-dont-get-along-with-each-other-ddca7a002e10
2️⃣Link2: https://docs.docker.com/network/iptables/
#container #docker #firewall #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

💥وبینار ملی چارچوب انطباق پذیر فناوری اطلاعات با رویکرد DevOps‌‎

🔹به اهتمام شاخه دانشجویی انجمن رمز ایران و باشگاه فن آفرینی آپاچی دانشگاه صنعتی اصفهان

♦️‌سخنران: علی ناظم رعایا
‌معمار و مشاور ارشد فناوری اطلاعات و ارتباطات - متخصص توسعه زیرساخت شبکه، مراکز داده و رایانش ابری - ‌‎استاد رسمی و بین المللی Microsoft و LPI
‌
🔸زمان: جمعه- ۳۰ آبان ماه ۱۳۹۹ ۱۸ الی ۲۱
🔸‌ثبت نام و برگزاری وبینار از طریق ایوند:
https://evnd.co/x0BG2
توجه: تمامی هزینه های دریافتی از این رویداد به نفع خیریه آشیانه رحمت الهی می باشد.
البته شرکت در این رویداد می‌تواند برای شما رایگان باشد❗️
#docker #devops #devsecops #agile #scrum
‌‎#لینوکس #فناوری_اطلاعات #استارتاپ #وبینار #نرم_افزار
〰️〰️〰️〰️〰️〰️〰️
© @DevOpsEx

دوستان علاقمند به دوآپس حتما در این وبینار شرکت کنید و لطفا به دوستانتون معرفی کنید. ✌️

#docker #devops #devsecops #agile #scrum
‌‎#لینوکس #فناوری_اطلاعات #استارتاپ #وبینار #نرم_افزار
〰️〰️〰️〰️〰️〰️〰️
© @DevOpsEx

What is Dive?
خب بازم یکمی راجب Security تو کانتینر ها حرف بزنیم ...
راه‌های مختلفی برای تحلیل ایمیج‌های داکر وجود دارد. یکی از ابزارهایی که در تحلیل و مشاهده فایل‌ها و لایه‌های مختلف ایمیج جهت حذف، ویرایش و تحلیل می‌توانیم استفاده کنیم، dive است. هم از لحاظ امنیتی، هم از لحاظ DevOps، ابزاری بسیار کاربردی است. و حتی می‌تونید تغیراتی که هر لایه ایجاد کرده مشاهده کنید.
Link:
⚡https://github.com/wagoodman/dive
#container #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚠️خب چند وقتی هست که شاهد باگ های عجیبی در بحث Privilege Escalation از ابزار sudo هستیم یک آدم خیری ابزاری به نام SUDO_KILLER رو توسعه داده که در اصل روی ماشین شما این باگ هارو چک میکنه که آیا امکان اکسپلویت کردنشون هست یا نه !!
به دوستان سیس ادمین پیشنهاد میشه بررسی کنند که مبادا Misconfiguration داشته باشن
SUDO_KILLER is a tool that can be used for privilege escalation on the Linux environment by abusing SUDO in several ways. The tool helps to identify misconfiguration within sudo rules, vulnerability within the version of sudo being used (CVEs and vulns), and the use of dangerous binary, all of these could be abused to elevate privilege to ROOT.
New - 2021
◾️Detection for CVE-2021-3156 was added
◾️Detection for CVE-2021-23240 was added
◾️Exploit for CVE-2019-18634 was added
◾️Docker environment to test CVE-2019-18634 was added
◾️Video showing exploitation of CVE-2019-18634 was added
Links:
https://github.com/TH3xACE/SUDO_KILLER
#linux #security #opensource #devops #devsecops #sudo
〰️〰️〰️〰️〰️
©️ @DevOpsEx

Deprecating TLS 1.0 and TLS 1.1
عمر نرم‌افزاری نسخه‌های 1.0 و 1.1 پروتکل TLS رسما به پایان رسید.
هر چند استفاده از این نسخه‌ها چند سالی است که پیشنهاد نمی‌شود. محدوده تاثیرگذاری منسوخ شدن، زیاد است، از مباحث سئو گرفته (با ارسال اخطار در وبمستر) تا مرورگرها، وب سرورها و ...
دلیل این عمل هم ساپورت نکردن الگوریتم‌های مدرن رمزنگاری توسط این ورژنها و همینطور وجود آسیب پذیری‌های امنیتی که ممکن است توسط افراد مختلف مورد سوء استفاده قرار بگیرند، می‌باشد. در حال حاضر v1.3 توصیه می‌گردد.
Link:
◾️https://datatracker.ietf.org/doc/rfc8996/
Source:
Vahid Nameni
#tls #security #cryptographic #devsecops
〰️〰️〰️〰️〰️
©️ @DevOpsEx

DevOps Security Tools
همانطور که همه دوستان مطلع هستند Vulnerability Assessment یکی از مهم‌ترین تسک‌ها در حیطه IT Security بوده و هست.
چند وقت پیش ابزار تحت عنوان trivy در بحث Container Vulnerability Scanning معرفی کردم خدمت دوستان.
امروز دو ابزار دیگر به نام های Anchore Engine و Clair را هم معرفی می‌کنم که به شدت ابزارهای جالبی در بحث Inspection و Analysis کانتینرها هستند.
اینبار می‌خوام مقاله‌ای را به شما معرفی کنم که با استفاده از این 3 ابزار، Base Image های مختلف رو اسکن می‌کند و مقایسه می‌کند کدام یک دقیقتر و بهتر عمل می‌کنند !!
پ.ن یکی از مهم ترین کاربردهای این نوع ابزارها در بحث CI هست.
Links:
✅https://raesene.github.io/blog/2020/06/21/Container_Vulnerability_Scanning_Fun/


◾️https://medium.com/dev-genius/vulnerability-management-of-containers-using-opensource-1d864ccaaf83
◾️https://medium.com/@matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf

#container #ci #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

یکی از مباحثی که همیشه تو زمینه Container Security جای خالی آن حس می‌شده، بحث Container Image Signing بوده است. این مبحث که بتوانیم آرتیفکتهایی چون ایمیج هامون رو Sign کنیم و در طول کار باهاشون، آنهارو Verify بکنیم، جزو مباحثی است که به شدت در حوزه هایی چون CI و ... کاربردی است. قابل ذکر است که پروژه Moby در حال توسعه چنین مکانیزمی می‌باشد، پروژه‌ای تحت عنوان Notary که خب مطمئن نیستم که هنوز بصورت Stable منتشر شده باشد!!
اما پروژه مد نظر ما پروژه ایست با نام Cosign زیر مجموعه شرکت Sigstore که بصورت تخصصی روی مبحث Software Signing و Transparency Service فعالیت دارند. ارزش یکبار نگاه کردن را دارد شک نکنید.🤘🤘
Link:

◾️https://raesene.github.io/blog/2021/03/21/Trying-out-cosign/

#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

Enterprise Security Architecture | Vahid Nameni
خب چند وقته پیش یکی از افراد فعال در حوزه DevSecOps به نام آقای وحید نامنی یک وبینار به حالت پرسش و پاسخ در یوتیوب برگذار کردند که گفتم قرار بدهم تا دوستانی که علاقه دارند بتونن از حرفای ایشون استفاده کنند. تاپیک هایی که سمت فیلد Container Security ها ایشون مطرح می‌کنند بسیار مفید هست و اواسط Talk راجب اینکه چه چیز هایی باید در این مسیر یاد بگیرید و بلد باشید هم اشاراتی می‌کنن و یک نقشه راه معرفی می‌کنن. این Talk رو می‌تونید از لینک زیر مشاهده کنید.
ویدیو اصلی:
◾️https://www.youtube.com/watch?v=QmByS5JxxAY&t=3421s
برگذار کننده اصلی اینگونه Talk ها:
📲@livesecuritytalks
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚡️YoR ⚡️
Automated IaC Tag And Trace!
وقتی از زیرساختهای ابری در مقیاس بالا و از چندین Provider مختلف استفاده می‌کنیم، ابزارهایی مثل Terraform که در اصل یکی از انواع ابزارهای IaC هستند، کلی در زمان صرفه جویی می‌کنند و کارها را سریعتر و بصورت Automate شده انجام می‌دهند. ولی از لحاظ امنیتی Security Misconfiguration های زیادی هم در این حین پدید می‌آیند.
ابزار زیر در جهت پیدا کردن بخشی از این مشکلات به شما کمک خواهد کرد:
Link:
◾️https://yor.io/
◾️https://github.com/bridgecrewio/yor
Source:
Vahid Nameni
#IaC #security #devops #devsecops
〰️〰️〰️〰️〰️
©️ @DevOpsEx

همیشه برام جالب بود که دلیل اصلی اینکه پلتفرم هایی مثل کوبرنتیز و یا داکر سرویس هایی رو تحت عنوان docker-proxy و kube-proxy نوشتن و هدف نهایی پشت این سرویس ها چی بوده و از چه مشکلاتی جلوگیری می کنن؟
کار مهمی که امروزه این سرویسها انجام میدن این هست که بقولی ما بتونیم حتی از طریق Local Network به اون پاد یا کانتینر مد نظرمون برسیم ( مشخصا این سرویس ها وظایف دیگه‌ای رو هم بر عهده دارند! ) چیزی که به شکل دیفالت در لینوکس ممکن نیست چرا که کرنل با پکت هایی که از شبکه داخلی آمده باشن 127.0.0.1/8 به شکلی خاصی رفتار می‌کنه چیزی که به ظاهر از RFC 1122 مقرر شده اینگونه باشه. به زبانی ساده تر، یک نود در شبکه هیچوقت پکتی که آدرس Destination اون 127.0.0.1 رو نمی‌تونه Transmit بکنه و به اصطلاح اون رو Drop میکنه.
ولی خب چیزی که همیشه مد نظرم بود ما بجای اینکه سرویسهایی بنویسیم مثل همون Proxy ها می‌تونیم به راحتی با ست کردن یک متغیر sysctl به نام route_localnet و یکمی بازی با IPTables مشکل رو حل کنیم یا دور بزنیم و به کانتینر مد نظرمون از طریق Localhost برسیم.
و خب بعد از حدود یک هفته تحقیق فهمیدم که در سال 2020 یک CVE-2020-8558 تحت همین سناریو بیرون آمد که اگر داکر یا کوبر با این متغیر کار بکنن چه مشکلی پیش میاد.
A flaw was found in Kubernetes that allows attackers on adjacent networks to reach services exposed on localhost ports, previously thought to be unreachable. This flaw allows an attacker to gain privileges or access confidential information for any services listening on localhost ports that are not protected by authentication.
و چقدر اون موقع به شکل راحتی سرویسهایی که به 127.0.0.1 به اصطلاح Bind شدن بدون هیچگونه Authentication و یا Encryption ای می‌تونن Expose بشن به خودی خود! که خب همین عامل باعث شد که داکر و یا کوبر سرویس هایی رو برای مدیریت بهتر این مشکلات بنویسن چرا که لینوکس به شکل دیفالت حتی Rule های IPTables رو برای پکت های Local Network در نظر نمی‌گیره !!

CVE-2020-8558:
◾️Link 1 Link 2
For More Info:
◾️Link 3

#container #docker #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

Proxies in Kubernetes
◾️https://kubernetes.io/docs/concepts/cluster-administration/proxies/
Cracking Kubernetes Node Proxy (aka kube-proxy)

◾️https://arthurchiao.art/blog/cracking-k8s-node-proxy/

Connection Tracking (conntrack)
◾️https://arthurchiao.art/blog/conntrack-design-and-implementation/
A Deep Dive into Iptables and Netfilter Architecture
◾️https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture
Awesome BPF Resources
◾️https://arthurchiao.art/blog/awesome-bpf/
#container #kubernetes #opensource #devops #devsecops #networking
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚡️What is DevSecOps?⚡️
DevSecOps stands for development, security, and operations. It's an approach to culture, automation, and platform design that integrates security as a shared responsibility throughout the entire IT lifecycle.
DevSecOps means thinking about application and infrastructure security from the start. It also means automating some security gates to keep the DevOps workflow from slowing down. Selecting the right tools to continuously integrate security, like agreeing on an integrated development environment (IDE) with security features, can help meet these goals. However, effective DevOps security requires more than new tools—it builds on the cultural changes of DevOps to integrate the work of security teams sooner rather than later.
Refs:
◾️DevSecOps Redhat
◾️GitHub Repo Resources
◾️OWASP DevSecOps
◾️DevSecOps Culture
◾️DevSecOps GitHub
#DevOps #DevSecOps #Security #Development #Operation #IT #Lifecycle #ITLifecycle #Hardening
〰️〰️〰️〰️〰️
©️ @DevOpsEx

⚡️A Linux SysAdmin's Introduction To Cgroups⚡️
Control groups (cgroups) are a Linux kernel mechanism for fine-grained control of resources. Originally put forward by Google engineers in 2006, cgroups were eventually merged into the Linux kernel around 2007.
While there are currently two versions of cgroups, most distributions and mechanisms use version 1, as it has been in the kernel since 2.6.24. Like with most things added into the mainline kernel, there was not a huge adoption rate at first.
Version 2 continues this trend, having been around for almost half a decade but still not widely deployed.
Links:
◾️https://www.redhat.com/sysadmin/cgroups-part-one
◾️https://www.redhat.com/sysadmin/cgroups-part-two
◾️https://www.redhat.com/sysadmin/cgroups-part-three
◾️https://www.redhat.com/sysadmin/cgroups-part-four
Pic Source:

◻️https://twitter.com/b0rk

#DevOps #DevSecOps #Security #Development #Operation #IT #Linux #Kernel
〰️〰️〰️〰️〰️
©️ @DevOpsEx

خب بعد از چند وقت بریم سراغ ادامه تاپیک جذاب همیشگی یعنی Container Networking ولی اینبار یکمی دقیق‌تر راجب طرز پیاده‌سازیش تو Kubernetes و نگاهی به بخشی از بقولی Under The Hood مکانیزم‌های استفاده‌شده برای تحقق این موضوع، چیزهایی مثل طرز پیاده‌سازی سرویس Kube-Proxy تو دو مد iptables و IPVS و تفاوت‌هاشون به شکل دقیق و همینطور روش‌هایی که CNI هایی مثل Calico برای Advertise کردن CIDR پاد استفاده می‌کنن یعنی دو تکنولوژی BGP و BIRD و درنهایت پیاده‌سازی OverLay Network به کمک مفاهیمی چون VXLAN و IPinIP.
◽️این پست ادامه بحث این پسته.
◽️عمده ریسورس‌های معرفی‌شده در لینک‌های زیر توسط آقای Dustin Specker نوشته شده است یکی از بهترین‌های این حوزه!
⚡️Links⚡️
Container Networking Series:

...
iptables: How Kubernetes Services Direct Traffic to Pods
IPVS: How Kubernetes Services Direct Traffic to Pods
Kubernetes Networking from Scratch: Using BGP and BIRD to Advertise Pod Routes
...

◾️https://dustinspecker.com/series/container-networking/
Deep Dive Kube-Proxy With iptables Mode:
◾️https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/
Container Networking From Scratch - Kristen Jacobs:
◾️https://www.youtube.com/watch?v=6v_BDHIgOY8
#container #kubernetes #opensource #devops #devsecops #networking
〰️〰️〰️〰️〰️〰️
© @DevOpsEx