Linux IPTables CheatSheet

Статья об устройстве и принципах работы iptables. Читать дальше.

С 7 по 9 октября 2022 года компания IT_ONE проведет онлайн-хакатон IT_ONE DevOps CHAMPION! IT_ONE – крупный разработчик ПО, который занимается трансформацией и цифровизацией российских компаний. Не упусти свой шанс поработать с профессионалами своего дела.

Тебе предстоит решить одну из двух задач на выбор:

– Автоматизировать задачу клонирования координаторов из одной среды Cloudera HUE в другую.

– Раскатать helm чарт через qbec.

Выполни задание одного из двух кейсов хакатона и получи до 70.000 рублей!

📌 Дедлайн регистрации: 5 октября 23:59

Зарегистрироваться можно тут

На хакатоне тебя также ждет:

📌 Призовой фонд – 200.000 рублей
📌 Стильный мерч
📌 Новые знакомства
📌 Мастер-классы и обратная связь от топовых экспертов

​Linux Auditing System: Centralized Logging to Remote Server

Цель этой статьи — показать практический пример того, как настроить централизованный сбор логов с узлов сети. Для этого будет использоваться встроенная система аудита Linux. Читать дальше.

🐧 Understanding a Kernel Oops! Старая статья, но как оказалась полезная даже сегодня. Ёмко и информативно о том, какую полезную информацию можно получить из дампа после kernel panic. Речь пойдёт конкретно об Oops (soft panic). #linux #kernel #напочитать

​The Linux Initialization Process

Что происходит с операционной системой Linux в процессе ее загрузки. Читать дальше.

​Как следить за кластером Kubernetes: 6 главных метрик, на которые нужно обращать внимание

Загвоздка с Kubernetes в том, что это не единая система, как, например, Redis RabbitMQ или PostgreSQL, а комбинация нескольких компонентов Control Plane: etcd, API-сервера и других. С помощью виртуальных машин или серверов они помогают контролировать пользовательские нагрузки, и от всех поступают огромные потоки метрик, в которых очень легко запутаться. Читать дальше.

Clickhouse cloud public beta

https://clickhouse.cloud/signUp

We are starting a free course about typing in Python!

We will cover:
- Runtime implementation of typing.py and when it can be helpful
- How to write mypy plugins?
- How to write type-safe code in Python using advanced techniques, such as: type level programming, dependent types, monads, phantom types and many more!

3 lectures + optional homework.
11 oct - 31 oct 2022
Language: ru

Register, while we still have open seats left!

https://education.borshev.com/python-typing

[Перевод] Руководство по программированию сокетов на Python. Клиент, сервер и несколько соединений
https://habr.com/ru/post/691296/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691296
Tags: Блог компании SkillFactory, Python, Программирование, Сетевые технологии, skillfactory, python, сокеты, сервер, клиент, интерфейсы, сеть, сети, программирование, соединения
Author honyaki #habr

На просторах сети попалась очень добротная статья "Kubernetes Security Best Practices Part 2: Network Policies" - про нативные NetworkPolicy (не забываем что есть и кастомные от Calico и Cilium).

В статье отражены и очень важные базовые моменты для использования NetworkPolicy, и примеры к ним, что позволит новичкам воспринимать данную тему проще.

Отдельно обращу ваше внимание на раздел про "Deny-all NetworkPolicy", так как далеко не все понимают истинный смысл данной политики (и скорее используют на автомате, бездумно).

А так же в статье отдельно четко прописан момент про "NetworkPolicies have to be defined on both sides" - не забывайте ;)

В официальном блоге появилась емкая и короткая заметка c очень говорящим названием "Kubernetes 1.25: alpha support for running Pods with user namespaces".

Если кратко, то она о фичи которая позволяет контейнерным процессам работать в отдельном пространстве (user namespace), отличном от хостового. И root в одном не является root в другом. Что также позволяет уменьшить возможный ущерб в случае эксплотации ряда уязвимостей в контейнере.

Для работы с этой фичей необходимо:
1) Включенный UserNamespacesStatelessPodsSupport feature gate
2) Настройка "hostUsers: false" в спецификации Pod
3) Container Runtime с соответствующей поддержкой: CRI-O >= v1.25 или containerd >= 1.7 (еще не вышла)

Также в документации есть более детальный пример использования данной фичи в разделе "Use a User Namespace With a Pod".

P.S. Кстати, не путайте эту фичу с KubeletInUserNamespace, появившейся в 1.22.

P.S.S. Для полного погружения в тему изучите 1 и 2.

Colima is a container runtimes on macOS (and Linux) with minimal setup

https://github.com/abiosoft/colima

#docker #podman #k3s #containerd

​Introducing programmable pipelines with Grafana Agent Flow

Команда Grafana анонсировала новую возможность в релизе v0.28.0 Grafana Agent. Flow состоит из блоков, которые можно переиспользовать при сборе различной телеметрии. Читать дальше.

На днях прошла конференция KubeHuddle 2022 в расписании которой есть много всего интересного, а видео уже доступно [1,2,3,4]. На пример:

- eBPF or sidecars?
- Securing Kubernetes with Open Policy Agent
- Hacking Kubernetes Like a Beginner with kdigger 🔥
- Secret Management: The Soft Way

- Hacking Kubernetes: Live Demo Marathon 🔥
- Who Can You Really Trust?
- Step by step Kubernetes observability with eBPF
- How to protect your Kubernetes cluster using Crowdsec
- Policy + Cloud Controllers = Secure Scalable Dev-Centric Infrastructure.

- EBPF and Kubernetes - Next level observability
- BumbleBee: Or How I Learned To Stop Worrying And Love eBPF

P.S. Видео с eBPF Summit 2022 также уже доступно ;)

Куда приводят Ops'ы: размышления о развитии ландшафта *Ops-специализаций
https://habr.com/ru/post/691636/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691636
Tags: Блог компании ITSumma, Big Data, DevOps, IT-стандарты, Машинное обучение, ITSumma, DataOps, MLOps, data engineering, big data, большие данные, машинное обучение
Author ITSumma #habr

📎 Очень понравилась серия статей - Hunting for Persistence in Linux:

(Part 1): Auditd, Sysmon, Osquery (and Webshells)
(Part 2): Account Creation and Manipulation
(Part 3): Systemd, Timers, and Cron
(Part 4): Initialization Scripts and Shell Configuration
(Part 5): Systemd Generators

#security #linux #напочитать

fgtrace - экспериментальный трейсер для горутин в #golang

https://github.com/felixge/fgtrace

🐧 Возможно, вы ещё не в курсе (да скорее всего в курсе), но Canonical анонсировала бесплатное предоставление Ubuntu Pro подписки для персонального использования. До 5 машин для всех, и до 50 машин для так называемых official Ubuntu Community Members.

https://ubuntu.com//blog/ubuntu-pro-beta-release
https://ubuntu.com/pro

Если кому-то, очень хотелось сохранить в работе свою персональную Ubuntu 16.04 и не убивать её обновлениями, то похоже что появился вариант продолжить её использовать и дальше.

#ubuntu #linux #будничное

Статья "Exploiting Distroless Images" с прикольной техникой эксплотации в контейнерах на базе gcr.io/distroless/base, которая позволяет читать, писать произвольные файлы и выполнять команды в этом distroless image!

А все это базируется на присутствующей внутри этого образа OpenSSL! Да, shell внутри такого образа нет, но зато можно использовать interactive command prompt от OpenSSL ;)

Таким образом, атакующий, получивший доступ к Kubernetes кластеру, может, через установленный OpenSSL в distroless base образе, прочитать service account tokens (SA), прокинутые secrets и даже получить интерактивное выполнение команд через загрузку custom shell.

Помните в одном из прошлых постов писал, что не все Distroless Images одинаковые (static/base/cc/interpreted)?!

Так что distroless images это не панацея, а лишь одна из техник усиления (hardening) - и никто behavior monitoring, AppArmor не отменял.

P.S. О данной проблеме/особенности было сообщено Google в августе 2021 и они решили не фиксить это.