Docker Security Tools
خب به عنوان اولین پستم تو انجمن !
📌دوست دارم یکی از ابزار های خوبی که تو بحث DevSecOps مطرح است را خدمتتان معرفی کنم که به اسم trivy شناخته می‌شود. این فریم ورک بطور کلی برای اسکن کانتینر ها و ایمیج های داکری و حتی Artifact های مختلف دیگه استفاده می‌شود و همینطور برای CI نیز مناسب هست. سعی کنید حتما از این ابزار فوق العاده در پروژه‌های خود استفاده کنید چرا که رعایت فاکتور های امنیتی حتی در پلتفرم های ایزوله‌ای چون کانتینر ها نیز مهم است ...
موفق و پیروز باشید🤘
Link:
https://github.com/aquasecurity/trivy
#container #ci #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

An Angry Docker Whale Whos Attacking The Iptables
داشتم مقاله‌ای رو مطالعه می‌کردم از اینکه چرا داکر با فایروال به خوبی کنار نمیاد برام جالب بود چون آخر مقاله یک لینک از داکیومنت اصلی داکر قرار داد و گفت که تمام مشکلات از چه چیزی هست و روش درست کردنش هم گفته جمله هم این بود
"Prevent Docker From Manipulating IPtables"
حتما مطالعه کنید:
✅Link1: https://medium.com/@erfansahaf/why-docker-and-firewall-dont-get-along-with-each-other-ddca7a002e10
2️⃣Link2: https://docs.docker.com/network/iptables/
#container #docker #firewall #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

حمایت داکر از تیم ها و ارگان هایی که بصورت اوپن سورس پروژه هایی مبتنی بر داکر انجام میدن. این فرایند از آگوست امسال شروع شده و بصورت اختصاصی برای چند کشور قابل اجراست. ادامه رو در مقاله زیر بخونید.


https://www.docker.com/blog/expanded-support-for-open-source-software-projects/?utm_campaign=IT+Pro&utm_content=1604355555&utm_medium=social&utm_source=Organic

#docker #داکر #opensource

〰️〰️〰️〰️〰️
©️ @DevOpsEx

➖ معرفی DBMQ (Docker-based Message Queuing)

با استفاده از DBMQ به راحتی می‌تونید پروژه جنگو خودتون رو داکرایز کنید و یک پروژه هسته داشته باشید و در کنارش دیتابیس ها و بروکر های مختلفی هم اجرا کنید. کافیه که پیکربندی اولیه رو انجام بدین و پروژه رو اجرا کنید.

✅ https://github.com/dbmqproject/dbmq

اگه از ایده و پروژه خوشتون اومد خوشحال میشم با استار دادن به ریپازیتوری، حمایتتون رو نشون بدین. 😊❤️

با تشکر فراوان از @BobyCloud عزیز. 🙏

#docker #dbmq #django #lnxpy #github #opensource

〰️〰️〰️〰️〰️〰️〰️
© @DevOpsEx

What is Dive?
خب بازم یکمی راجب Security تو کانتینر ها حرف بزنیم ...
راه‌های مختلفی برای تحلیل ایمیج‌های داکر وجود دارد. یکی از ابزارهایی که در تحلیل و مشاهده فایل‌ها و لایه‌های مختلف ایمیج جهت حذف، ویرایش و تحلیل می‌توانیم استفاده کنیم، dive است. هم از لحاظ امنیتی، هم از لحاظ DevOps، ابزاری بسیار کاربردی است. و حتی می‌تونید تغیراتی که هر لایه ایجاد کرده مشاهده کنید.
Link:
⚡https://github.com/wagoodman/dive
#container #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚡️Cloud-Native Developer Tool For Kubernetes
What is DevSpace?
Building modern, distributed and highly scalable microservices with Kubernetes is hard - and it is even harder for large teams of developers. DevSpace is the next-generation tool for fast cloud-native software development.
DevSpace is a client-only, open-source developer tool for Kubernetes:
1️⃣Build, test and debug applications directly inside Kubernetes
2️⃣Develop with hot reloading: updates your running containers without rebuilding images or restarting containers
3️⃣Unify deployment workflows within your team and across dev, staging and production
4️⃣Automate repetitive tasks for image building and deployment
Links:
◾️https://github.com/loft-sh/devspace
◾️https://www.youtube.com/watch?v=kgfg8r6_zPk
#container #docker #kubernetes #opensource #devops #cloudnative
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚠️خب چند وقتی هست که شاهد باگ های عجیبی در بحث Privilege Escalation از ابزار sudo هستیم یک آدم خیری ابزاری به نام SUDO_KILLER رو توسعه داده که در اصل روی ماشین شما این باگ هارو چک میکنه که آیا امکان اکسپلویت کردنشون هست یا نه !!
به دوستان سیس ادمین پیشنهاد میشه بررسی کنند که مبادا Misconfiguration داشته باشن
SUDO_KILLER is a tool that can be used for privilege escalation on the Linux environment by abusing SUDO in several ways. The tool helps to identify misconfiguration within sudo rules, vulnerability within the version of sudo being used (CVEs and vulns), and the use of dangerous binary, all of these could be abused to elevate privilege to ROOT.
New - 2021
◾️Detection for CVE-2021-3156 was added
◾️Detection for CVE-2021-23240 was added
◾️Exploit for CVE-2019-18634 was added
◾️Docker environment to test CVE-2019-18634 was added
◾️Video showing exploitation of CVE-2019-18634 was added
Links:
https://github.com/TH3xACE/SUDO_KILLER
#linux #security #opensource #devops #devsecops #sudo
〰️〰️〰️〰️〰️
©️ @DevOpsEx

OOM Killer: The Linux Assassin
خب چند وقت پیش یه مقاله‌ای توسط آقای JOE CONWAY در بحث PostgreSQL Performance Tuning پابلیش شد که بررسیش خالی از لطف نیست.
این مقاله روی فیچری از کرنل لینوکس به نام OOM (Out-Of-Memory) Killer مخصوصا تو مبحث Kubernetes و تاثیراتش روی سرویس PostgreSQL هنگام دپلویش روی این پلتفرم تمرکز و بحث می‌کنه.
در درجه اول خوده این فیچر رو مورد بررسی قرار می گیره و سطوحی که این فیچر می‌تونه تاثیر بزاره روی سرویسهای مختلف و قضیه اینجوریه که PostgreSQL نباید توسط OOM Killer کیل بشه چرا که مشکلاتی به همراه داره (تو مقاله کامل بررسی شده) ...
در نهایت هم روی مبحث Kubernetes QoS صحبت می‌کنه و تاثیراتی که هر کدوم از این سطوح QoS می‌تونن روی OOM Killer و عملا PostgreSQL بزارن ...
Links:
✅https://info.crunchydata.com/blog/deep-postgresql-thoughts-the-linux-assassin
◾️https://www.postgresql.org/docs/current/kernel-resources.html#LINUX-MEMORY-OVERCOMMIT
#linux #kenel #opensource #database #kubernetes #postgresql
〰️〰️〰️〰️〰️
©️ @DevOpsEx

How to Monitor Linux Server Security?
OSQuery
Query Your Devices Like A Database
خب اصلا این ابزار چی هست و کارش چیه؟
خلاصه اش این هست که شما می‌تونید تمام اطلاعات و دیتا های مهم و ارزشمند OS خودتون رو با نوشتن اسکریپتی در قالب و فرمت SQL دریافت کنید و عملا یک فریمورک عالی برای بحث های مانیتورینگ و آنالایز و حتی ممیزی های امنیتی داشته باشید.
به زبانی بهتر این ابزار برای شما یکسری Table Schema هایی فراهم کرده که می‌تونید با زدن کوئری های استاندارد SQL شروع به خروجی گرفتن کنید از سیستمون و بدین شکل نیازتون به Bash و زبان های اسکریپتی دیگه کمتر بشه تا حدودی.
لیست Schema های پشتیبانی شده:
◾️https://osquery.io/schema
لینک داکیومنت و نحوه استفاده از این ابزار:
◾️https://osquery.readthedocs.org/
◾️https://www.tecmint.com/monitor-linux-server-security-with-osquery/
لینکی از چرایی استفاده از این ابزار در محیط های Enterprise:
◾️https://medium.com/palantir/osquery-across-the-enterprise-3c3c9d13ec55

#sql #security #os #linux #opensource #tools #monitoring
〰️〰️〰️〰️〰️
©️ @DevOpsEx

DevOps Security Tools
همانطور که همه دوستان مطلع هستند Vulnerability Assessment یکی از مهم‌ترین تسک‌ها در حیطه IT Security بوده و هست.
چند وقت پیش ابزار تحت عنوان trivy در بحث Container Vulnerability Scanning معرفی کردم خدمت دوستان.
امروز دو ابزار دیگر به نام های Anchore Engine و Clair را هم معرفی می‌کنم که به شدت ابزارهای جالبی در بحث Inspection و Analysis کانتینرها هستند.
اینبار می‌خوام مقاله‌ای را به شما معرفی کنم که با استفاده از این 3 ابزار، Base Image های مختلف رو اسکن می‌کند و مقایسه می‌کند کدام یک دقیقتر و بهتر عمل می‌کنند !!
پ.ن یکی از مهم ترین کاربردهای این نوع ابزارها در بحث CI هست.
Links:
✅https://raesene.github.io/blog/2020/06/21/Container_Vulnerability_Scanning_Fun/


◾️https://medium.com/dev-genius/vulnerability-management-of-containers-using-opensource-1d864ccaaf83
◾️https://medium.com/@matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf

#container #ci #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

یکی از مباحثی که همیشه تو زمینه Container Security جای خالی آن حس می‌شده، بحث Container Image Signing بوده است. این مبحث که بتوانیم آرتیفکتهایی چون ایمیج هامون رو Sign کنیم و در طول کار باهاشون، آنهارو Verify بکنیم، جزو مباحثی است که به شدت در حوزه هایی چون CI و ... کاربردی است. قابل ذکر است که پروژه Moby در حال توسعه چنین مکانیزمی می‌باشد، پروژه‌ای تحت عنوان Notary که خب مطمئن نیستم که هنوز بصورت Stable منتشر شده باشد!!
اما پروژه مد نظر ما پروژه ایست با نام Cosign زیر مجموعه شرکت Sigstore که بصورت تخصصی روی مبحث Software Signing و Transparency Service فعالیت دارند. ارزش یکبار نگاه کردن را دارد شک نکنید.🤘🤘
Link:

◾️https://raesene.github.io/blog/2021/03/21/Trying-out-cosign/

#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

Enterprise Security Architecture | Vahid Nameni
خب چند وقته پیش یکی از افراد فعال در حوزه DevSecOps به نام آقای وحید نامنی یک وبینار به حالت پرسش و پاسخ در یوتیوب برگذار کردند که گفتم قرار بدهم تا دوستانی که علاقه دارند بتونن از حرفای ایشون استفاده کنند. تاپیک هایی که سمت فیلد Container Security ها ایشون مطرح می‌کنند بسیار مفید هست و اواسط Talk راجب اینکه چه چیز هایی باید در این مسیر یاد بگیرید و بلد باشید هم اشاراتی می‌کنن و یک نقشه راه معرفی می‌کنن. این Talk رو می‌تونید از لینک زیر مشاهده کنید.
ویدیو اصلی:
◾️https://www.youtube.com/watch?v=QmByS5JxxAY&t=3421s
برگذار کننده اصلی اینگونه Talk ها:
📲@livesecuritytalks
#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

A Comparison Of Linux Container Images❗️
چند وقته پیش به نوشته جالبی از آقای Scott McCarty برخورد کردم گفتم بزارم شاید دوستان هم استفاده کردند. موضوع مورد بحث این هست که ایشون یک مقایسه بسیار جالب از تمام Container Image های Base انجام داده‌اند و از جهاتی چون موارد زیر آنهارو مقایسه کرده‌اند:
Architecture
Security
Binary Hardening
Performance
نکته جالبی هم راجب بحث ایمیج های DistroLess ارائه دادند که خوندنش خالی از لطف نبوده و دید نسبتا خوب و کاملی در انتخاب یک Base ایمیج متناسب با کارتون به شما می‌دهد.
ضمنا ایشون Content های به شدت پرمحتوایی در زمینه Container Internals و Container Standards ها دارن که می‌تونید در چنل یوتیوبشون اونهارو هم مطالعه کنید و استفاده کنید.
Link:
◾️https://crunchtools.com/comparison-linux-container-images/
Youtube Channel:
◾️https://www.youtube.com/channel/UCkWQhDzOxooYHp5LrTqnkdg
#container #docker #opensource #devops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

همیشه برام جالب بود که دلیل اصلی اینکه پلتفرم هایی مثل کوبرنتیز و یا داکر سرویس هایی رو تحت عنوان docker-proxy و kube-proxy نوشتن و هدف نهایی پشت این سرویس ها چی بوده و از چه مشکلاتی جلوگیری می کنن؟
کار مهمی که امروزه این سرویسها انجام میدن این هست که بقولی ما بتونیم حتی از طریق Local Network به اون پاد یا کانتینر مد نظرمون برسیم ( مشخصا این سرویس ها وظایف دیگه‌ای رو هم بر عهده دارند! ) چیزی که به شکل دیفالت در لینوکس ممکن نیست چرا که کرنل با پکت هایی که از شبکه داخلی آمده باشن 127.0.0.1/8 به شکلی خاصی رفتار می‌کنه چیزی که به ظاهر از RFC 1122 مقرر شده اینگونه باشه. به زبانی ساده تر، یک نود در شبکه هیچوقت پکتی که آدرس Destination اون 127.0.0.1 رو نمی‌تونه Transmit بکنه و به اصطلاح اون رو Drop میکنه.
ولی خب چیزی که همیشه مد نظرم بود ما بجای اینکه سرویسهایی بنویسیم مثل همون Proxy ها می‌تونیم به راحتی با ست کردن یک متغیر sysctl به نام route_localnet و یکمی بازی با IPTables مشکل رو حل کنیم یا دور بزنیم و به کانتینر مد نظرمون از طریق Localhost برسیم.
و خب بعد از حدود یک هفته تحقیق فهمیدم که در سال 2020 یک CVE-2020-8558 تحت همین سناریو بیرون آمد که اگر داکر یا کوبر با این متغیر کار بکنن چه مشکلی پیش میاد.
A flaw was found in Kubernetes that allows attackers on adjacent networks to reach services exposed on localhost ports, previously thought to be unreachable. This flaw allows an attacker to gain privileges or access confidential information for any services listening on localhost ports that are not protected by authentication.
و چقدر اون موقع به شکل راحتی سرویسهایی که به 127.0.0.1 به اصطلاح Bind شدن بدون هیچگونه Authentication و یا Encryption ای می‌تونن Expose بشن به خودی خود! که خب همین عامل باعث شد که داکر و یا کوبر سرویس هایی رو برای مدیریت بهتر این مشکلات بنویسن چرا که لینوکس به شکل دیفالت حتی Rule های IPTables رو برای پکت های Local Network در نظر نمی‌گیره !!

CVE-2020-8558:
◾️Link 1 Link 2
For More Info:
◾️Link 3

#container #docker #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

Proxies in Kubernetes
◾️https://kubernetes.io/docs/concepts/cluster-administration/proxies/
Cracking Kubernetes Node Proxy (aka kube-proxy)

◾️https://arthurchiao.art/blog/cracking-k8s-node-proxy/

Connection Tracking (conntrack)
◾️https://arthurchiao.art/blog/conntrack-design-and-implementation/
A Deep Dive into Iptables and Netfilter Architecture
◾️https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture
Awesome BPF Resources
◾️https://arthurchiao.art/blog/awesome-bpf/
#container #kubernetes #opensource #devops #devsecops #networking
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

خب بعد از چند وقت بریم سراغ ادامه تاپیک جذاب همیشگی یعنی Container Networking ولی اینبار یکمی دقیق‌تر راجب طرز پیاده‌سازیش تو Kubernetes و نگاهی به بخشی از بقولی Under The Hood مکانیزم‌های استفاده‌شده برای تحقق این موضوع، چیزهایی مثل طرز پیاده‌سازی سرویس Kube-Proxy تو دو مد iptables و IPVS و تفاوت‌هاشون به شکل دقیق و همینطور روش‌هایی که CNI هایی مثل Calico برای Advertise کردن CIDR پاد استفاده می‌کنن یعنی دو تکنولوژی BGP و BIRD و درنهایت پیاده‌سازی OverLay Network به کمک مفاهیمی چون VXLAN و IPinIP.
◽️این پست ادامه بحث این پسته.
◽️عمده ریسورس‌های معرفی‌شده در لینک‌های زیر توسط آقای Dustin Specker نوشته شده است یکی از بهترین‌های این حوزه!
⚡️Links⚡️
Container Networking Series:

...
iptables: How Kubernetes Services Direct Traffic to Pods
IPVS: How Kubernetes Services Direct Traffic to Pods
Kubernetes Networking from Scratch: Using BGP and BIRD to Advertise Pod Routes
...

◾️https://dustinspecker.com/series/container-networking/
Deep Dive Kube-Proxy With iptables Mode:
◾️https://serenafeng.github.io/2020/03/26/kube-proxy-in-iptables-mode/
Container Networking From Scratch - Kristen Jacobs:
◾️https://www.youtube.com/watch?v=6v_BDHIgOY8
#container #kubernetes #opensource #devops #devsecops #networking
〰️〰️〰️〰️〰️〰️
© @DevOpsEx