Unused — CLI-инструмент, экспортер для Prometheus и модуль на Go для перечисления неиспользуемых дисков во всех облачных провайдерах
Этот репозиторий содержит библиотеку на Go для поиска ваших неиспользуемых постоянных дисков у разных облачных провайдеров, а также бинарные файлы для отображения этой информации в CLI или экспорта метрик для Prometheus.
В Grafana Labs мы размещаем рабочие нагрузки у разных облачных провайдеров. Оркестрация рабочих нагрузок управляется Kubernetes, и мы обнаружили, что из-за некоторых ошибок в конфигурации системы хранения у нас накапливалось множество неиспользуемых ресурсов, особенно постоянных дисков. Эти утечки ресурсов стоят денег, и, поскольку эти ресурсы больше не используются, это приводит к финансовым потерям. Эта библиотека и сопутствующие инструменты помогут вам определить такие ресурсы и очистить их.
📌 Подробнее: https://github.com/grafana/unused
MemOps🤨
Этот репозиторий содержит библиотеку на Go для поиска ваших неиспользуемых постоянных дисков у разных облачных провайдеров, а также бинарные файлы для отображения этой информации в CLI или экспорта метрик для Prometheus.
В Grafana Labs мы размещаем рабочие нагрузки у разных облачных провайдеров. Оркестрация рабочих нагрузок управляется Kubernetes, и мы обнаружили, что из-за некоторых ошибок в конфигурации системы хранения у нас накапливалось множество неиспользуемых ресурсов, особенно постоянных дисков. Эти утечки ресурсов стоят денег, и, поскольку эти ресурсы больше не используются, это приводит к финансовым потерям. Эта библиотека и сопутствующие инструменты помогут вам определить такие ресурсы и очистить их.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - grafana/unused: CLI tool, Prometheus exporter, and Go module to list your unused disks in all cloud providers
CLI tool, Prometheus exporter, and Go module to list your unused disks in all cloud providers - grafana/unused
👍4
eraser — помогает администраторам Kubernetes удалить список неработающих образов со всех узлов Kubernetes в кластере.
📌 Подробнее: https://github.com/eraser-dev/eraser
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - eraser-dev/eraser: 🧹 Cleaning up images from Kubernetes nodes
🧹 Cleaning up images from Kubernetes nodes. Contribute to eraser-dev/eraser development by creating an account on GitHub.
👍3
Доклад “Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes” от Mark Manning посвящён одной из самых сложных тем в Kubernetes — изоляции контейнеров и реальной безопасности sandbox-окружений.
Автор подробно разбирает, почему контейнеры сами по себе не являются полноценной границей безопасности, какие ограничения есть у seccomp и где проходит граница между виртуализацией и изоляцией. Особенно интересно, что в докладе рассматриваются не только способы защиты workload’ов, но и реальные сценарии обхода sandbox-механизмов.
Доклад будет полезен всем, кто работает с multi-tenant Kubernetes-кластерами и хочет лучше понимать риски container isolation.
📌 Подробнее: https://www.youtube.com/watch?v=AKimmv-OYgE
MemOps🤨
Автор подробно разбирает, почему контейнеры сами по себе не являются полноценной границей безопасности, какие ограничения есть у seccomp и где проходит граница между виртуализацией и изоляцией. Особенно интересно, что в докладе рассматриваются не только способы защиты workload’ов, но и реальные сценарии обхода sandbox-механизмов.
Доклад будет полезен всем, кто работает с multi-tenant Kubernetes-кластерами и хочет лучше понимать риски container isolation.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
BSidesSF 2026 - Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes (Mark Manning)
Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes
Mark Manning
Containers aren’t a security boundary — but we love dangerous things. This talk dives into real-world k8s sandboxing: sharp edges of seccomp, lines between virtualization and…
Mark Manning
Containers aren’t a security boundary — but we love dangerous things. This talk dives into real-world k8s sandboxing: sharp edges of seccomp, lines between virtualization and…
👍1
Kubesplaining — CLI-инструмент для анализа безопасности Kubernetes, написанный на Go. Он позиционируется как «Cloudsplaining для Kubernetes».
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
📌 Подробнее: https://github.com/eraser-dev/eraser
MemOps🤨
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0hardik1/kubesplaining: Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis.…
Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis. Cloudsplaining for Kubernetes. - 0hardik1/kubesplaining
👍2
sig-storage-local-static-provisioner - это официальный проект из экосистемы Kubernetes, который автоматизирует работу с локальными дисками как с PersistentVolume.
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
📌 Подробнее: https://github.com/kubernetes-sigs/sig-storage-local-static-provisioner
MemOps🤨
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kubernetes-sigs/sig-storage-local-static-provisioner: Static provisioner of local volumes
Static provisioner of local volumes. Contribute to kubernetes-sigs/sig-storage-local-static-provisioner development by creating an account on GitHub.
boring — простой менеджер SSH-туннелей. Управляется из командной строки.
📌 Подробнее: https://github.com/alebeck/boring
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - alebeck/boring: The `boring` SSH tunnel manager
The `boring` SSH tunnel manager. Contribute to alebeck/boring development by creating an account on GitHub.
❤1
pinger — комплексный инструмент для тестирования производительности DNS, который проверяет более 60 общедоступных DNS-серверов, чтобы найти самый быстрый и надежный DNS-резолвер для вашей сети.Возможности:
— тестирует более 60 DNS-серверов, включая Google, Cloudflare, Quad9, OpenDNS, AdGuard и многие другие.
- многократные итерации тестирования: выполняет 5 тестов на каждом сервере, используя различные популярные домены.
- анализ корреляции DNS-Ping: измеряет как время выполнения DNS-запроса, так и задержку сети.
— интеллектуальная система оценки: взвешенная оценка (70% DNS, 30% ping) для оптимального выбора сервера.
— цветовая кодировка результатов: визуальные индикаторы производительности (зеленый = отлично, желтый = хорошо, красный = медленно).
— рекомендации по настройке: Предоставляет готовые к использованию варианты основного и дополнительного DNS-сервера.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Panchajanya1999/pingerr: Find the most optimal DNS server for your router/machine
Find the most optimal DNS server for your router/machine - Panchajanya1999/pingerr