Forwarded from Типичный Сисадмин
Критический баг в Docker Desktop
Выкатили срочный патч для всех, кто использует Docker Desktop на Windows и macOS. Обнаружена критическая уязвимость (CVE-2025-9074, CVSS 9.3), которая позволяет вредоносному контейнеру осуществить побег и захватить контроль над хост-системой.
Суть уязвимости в простом недосмотре. API Docker Engine оказался доступен изнутри любого запущенного контейнера без аутентификации по TCP-сокету на
Выглядит так:
🟢 Отправляется POST-запрос с JSON-пейлоадом на
🟢 Отправляется POST-запрос на
🟢 Всё. Атакующий получает полный доступ к файловой системе хоста и может читать любые файлы или перезаписывать системные DLL для повышения привилегий.
Особенно опасно это для пользователей Windows, где Docker Engine работает через WSL2 с правами администратора. На macOS чуть лучше, тут благодаря дополнительному слою изоляции система запросит у пользователя разрешение на монтирование домашней директории. Но даже там злоумышленник получает полный контроль над самим приложением Docker и всеми контейнерами, что позволяет, например, внедрить бэкдор через изменение конфигурации.
Версию для Linux эта уязвимость не затрагивает, так как там для API используется named pipe в файловой системе, а не TCP-сокет.Надо было ставить Linux 🤣
Уязвимость уже исправлена в Docker Desktop версии 4.44.3.
Типичный🥸 Сисадмин
Выкатили срочный патч для всех, кто использует Docker Desktop на Windows и macOS. Обнаружена критическая уязвимость (CVE-2025-9074, CVSS 9.3), которая позволяет вредоносному контейнеру осуществить побег и захватить контроль над хост-системой.
Суть уязвимости в простом недосмотре. API Docker Engine оказался доступен изнутри любого запущенного контейнера без аутентификации по TCP-сокету на
192.168.65.7:2375. Это открывает дорогу к классической серверной подделке запросов (SSRF). Атакующему достаточно отправить пару HTTP POST-запросов, чтобы полностью скомпрометировать хост.Выглядит так:
/containers/create. В нем указывается, что нужно смонтировать диск C: хоста в папку /mnt/host внутри нового контейнера./containers/{id}/start, который запускает этот свежесозданный контейнер.Особенно опасно это для пользователей Windows, где Docker Engine работает через WSL2 с правами администратора. На macOS чуть лучше, тут благодаря дополнительному слою изоляции система запросит у пользователя разрешение на монтирование домашней директории. Но даже там злоумышленник получает полный контроль над самим приложением Docker и всеми контейнерами, что позволяет, например, внедрить бэкдор через изменение конфигурации.
Версию для Linux эта уязвимость не затрагивает, так как там для API используется named pipe в файловой системе, а не TCP-сокет.
Уязвимость уже исправлена в Docker Desktop версии 4.44.3.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Termix — это бесплатная платформа с открытым исходным кодом для самостоятельного управления серверами по принципу «все в одном». Она представляет собой веб-решение для управления серверами и инфраструктурой через единый интуитивно понятный интерфейс. Termix предлагает доступ к терминалу SSH, возможности SSH-туннелирования и удаленное редактирование конфигурации файлов, а также множество других инструментов.
📌 Подробнее: https://github.com/LukeGus/Termix
MemOps🤨
📌 Подробнее: https://github.com/LukeGus/Termix
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Termix-SSH/Termix: Termix is a web-based server management platform with SSH terminal, tunneling, and file editing capabilities.
Termix is a web-based server management platform with SSH terminal, tunneling, and file editing capabilities. - Termix-SSH/Termix
Введение в безопасность Docker
Прежде чем пытаться защитить систему, важно понять, как она устроена. В статье Рори МакКьюна вы узнаете:
— Основные компоненты Docker
— Поверхность атаки Docker
— Практические советы и приёмы по обеспечению безопасности
📌 Подробнее: https://labs.iximiuz.com/tutorials/docker-security-introduction-a859718d
MemOps🤨
Прежде чем пытаться защитить систему, важно понять, как она устроена. В статье Рори МакКьюна вы узнаете:
— Основные компоненты Docker
— Поверхность атаки Docker
— Практические советы и приёмы по обеспечению безопасности
📌 Подробнее: https://labs.iximiuz.com/tutorials/docker-security-introduction-a859718d
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
iximiuz Labs
An Introduction to Docker Security | iximiuz Labs
In this tutorial, we'll dive into the world of Docker Security, look at the attack surface of a Docker installation and show some straightforward container breakouts
👍2
Grafana Mimir: 3 преимущества
Grafana отмечает, что запуск Mimir на виртуальных машинах или bare-metal — это реальная альтернатива Kubernetes-деплою.
Такой подход удобен, если у вас нет кластера Kubernetes: установка выполняется через стандартные пакеты и автоматизацию вроде Ansible или Puppet, без лишних зависимостей и сложностей.
📌 Подробнее: https://grafana.com/blog/2025/08/22/grafana-mimir-3-reasons-to-run-the-tsdb-for-prometheus-on-bare-metal/
MemOps🤨
Grafana отмечает, что запуск Mimir на виртуальных машинах или bare-metal — это реальная альтернатива Kubernetes-деплою.
Такой подход удобен, если у вас нет кластера Kubernetes: установка выполняется через стандартные пакеты и автоматизацию вроде Ansible или Puppet, без лишних зависимостей и сложностей.
📌 Подробнее: https://grafana.com/blog/2025/08/22/grafana-mimir-3-reasons-to-run-the-tsdb-for-prometheus-on-bare-metal/
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁21
Глубокое погружение в распределённые микросервисы с помощью OpenSearch и OpenTelemetry
📌 Подробнее: https://opensearch.org/blog/diving-deep-into-distributed-microservices-with-opensearch-and-opentelemetry [en]
MemOps🤨
📌 Подробнее: https://opensearch.org/blog/diving-deep-into-distributed-microservices-with-opensearch-and-opentelemetry [en]
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
OpenSearch
Diving deep into distributed microservices with OpenSearch and OpenTelemetry
Explore distributed tracing with OpenSearch 3.1 and OpenTelemetry, featuring enhanced service maps and trace analytics. Learn how to collect and analyze telemetry data using OpenSearch Dashboards.
👍2
Monitoring FastAPI with Grafana + Prometheus: A 5-Minute Guide
В этой статье рассмотрено как отслеживать работу приложения Python FastAPI с помощью Prometheus и Grafana, работающих локально с Docker Compose. В результате у вас будет дашборд, отображающий частоту запросов, задержку и использование системных ресурсов — все это будет работать локально с помощью Docker Compose.
📌 Подробнее: https://levelup.gitconnected.com/monitoring-fastapi-with-grafana-prometheus-a-5-minute-guide-658280c7f358
MemOps🤨
В этой статье рассмотрено как отслеживать работу приложения Python FastAPI с помощью Prometheus и Grafana, работающих локально с Docker Compose. В результате у вас будет дашборд, отображающий частоту запросов, задержку и использование системных ресурсов — все это будет работать локально с помощью Docker Compose.
📌 Подробнее: https://levelup.gitconnected.com/monitoring-fastapi-with-grafana-prometheus-a-5-minute-guide-658280c7f358
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Monitoring FastAPI with Grafana + Prometheus: A 5-Minute Guide
Monitoring isn’t optional anymore — especially for ML pipelines that power safety-critical systems like adversarial prompt detectors.
👍2
Top 10 Status Page Examples: What We Like and What’s Missing
📌 Подробнее: https://www.checklyhq.com/blog/top-10-status-page-examples
MemOps🤨
📌 Подробнее: https://www.checklyhq.com/blog/top-10-status-page-examples
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Checkly
Top 10 Status Page Examples: What We Like and What’s Missing
Here are 10 standout examples of public status pages, with a quick breakdown of what they do well—and where there’s room for improvement.
👍2
kubectl-neat — инструмент для очистки выводов команд kubectl get в k8s. Он удаляет избыточную информацию из YAML и JSON манифестов, оставляя только важные данные.
Как использовать:
В результате вывод будет очищен от ненужных временных меток, идентификаторов и данных о статусах, что упрощает восприятие манифестов.
kubectl-neat помогает быстрее анализировать конфигурации и сокращает объем выводимой информации, делая её более читабельной.
📌 Подробнее: https://github.com/itaysk/kubectl-neat
MemOps🤨
Как использовать:
kubectl get pod mypod -o yaml | kubectl neat
В результате вывод будет очищен от ненужных временных меток, идентификаторов и данных о статусах, что упрощает восприятие манифестов.
kubectl-neat помогает быстрее анализировать конфигурации и сокращает объем выводимой информации, делая её более читабельной.
📌 Подробнее: https://github.com/itaysk/kubectl-neat
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - itaysk/kubectl-neat: Clean up Kubernetes yaml and json output to make it readable
Clean up Kubernetes yaml and json output to make it readable - itaysk/kubectl-neat
Gonzo — мощный терминальный клиент для анализа логов в реальном времени, вдохновлённый k9s. Вы сможете анализировать потоки логов с помощью красивых диаграмм, аналитики на основе ИИ и расширенной фильтрации — всё прямо в терминале.
📌 Подробнее: https://github.com/control-theory/gonzo
MemOps🤨
📌 Подробнее: https://github.com/control-theory/gonzo
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - control-theory/gonzo: Gonzo! The Go based TUI log analysis tool
Gonzo! The Go based TUI log analysis tool. Contribute to control-theory/gonzo development by creating an account on GitHub.
👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁22
ArgoCD — мощный инструмент для GitOps-подхода, но его использование в мультикластерной среде накладывает дополнительные требования к безопасности.
Основные идеи из статьи:
— Распределённая архитектура: при работе с несколькими кластерами важно правильно выстраивать доверительные отношения между ними, чтобы избежать компрометации всей инфраструктуры.
— Аутентификация и авторизация: рекомендуется использовать внешние провайдеры идентификации (OIDC), что упрощает управление доступом и позволяет централизовать контроль.
— RBAC и политики безопасности: ограничение прав до минимально необходимых снижает риск злоупотреблений и атак через скомпрометированные учётные данные.
— Секреты и их хранение: лучше всего использовать внешние менеджеры секретов (например, HashiCorp Vault, AWS Secrets Manager), а не хранить их напрямую в кластере.
— Zero Trust подход: предполагается минимизация доверия даже внутри инфраструктуры — каждый запрос должен быть аутентифицирован и авторизован.
В итоге, защищённый мультикластерный ArgoCD — это комбинация централизованного управления доступом, минимальных прав, надёжного хранения секретов и постоянного мониторинга. Такой подход снижает поверхность атаки и повышает устойчивость CI/CD-процессов.
📌 Подробнее: https://www.tremolo.io/post/securing-multi-cluster-argocd
MemOps🤨
Основные идеи из статьи:
— Распределённая архитектура: при работе с несколькими кластерами важно правильно выстраивать доверительные отношения между ними, чтобы избежать компрометации всей инфраструктуры.
— Аутентификация и авторизация: рекомендуется использовать внешние провайдеры идентификации (OIDC), что упрощает управление доступом и позволяет централизовать контроль.
— RBAC и политики безопасности: ограничение прав до минимально необходимых снижает риск злоупотреблений и атак через скомпрометированные учётные данные.
— Секреты и их хранение: лучше всего использовать внешние менеджеры секретов (например, HashiCorp Vault, AWS Secrets Manager), а не хранить их напрямую в кластере.
— Zero Trust подход: предполагается минимизация доверия даже внутри инфраструктуры — каждый запрос должен быть аутентифицирован и авторизован.
В итоге, защищённый мультикластерный ArgoCD — это комбинация централизованного управления доступом, минимальных прав, надёжного хранения секретов и постоянного мониторинга. Такой подход снижает поверхность атаки и повышает устойчивость CI/CD-процессов.
📌 Подробнее: https://www.tremolo.io/post/securing-multi-cluster-argocd
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tremolo.io
Securing Multi-Cluster ArgoCD
Learn how to securely integrate ArgoCD with remote Kubernetes clusters with short lived tokens based on ArgoCD's Kubernetes identity..
❤3