Kubernetes on bare metal: SSL

Презентация

https://youtu.be/5YF2IEq68sc

#k8s #kubernetes

🛠 Не знаю зачем они это на две статьи разделили, можно было всё в одной написать, но тем не менее - как быстро записать сессию терминала в файл и потом воспроизвести её. Всё делается с помощью script и scriptreplay:

• How to capture terminal sessions and output with the Linux script command.
• How to replay terminal sessions recorded with the Linux script command.

#cli #bash #script

​​Утилита для аудита безопасности Linux сервера

Есть бесплатная утилита для быстрого аудита безопасности Linux сервера - Lynis. Она есть в большинстве стандартных репозиториев современных дистрибутивов, так что установить ее очень просто:

# yum install lynis
# apt install lynis

Если нужна самая свежая версия, ее можно взять на github. Запустить базовую проверку системы можно следующей командой:

# lynis audit system

После выполнения вы получите очень подробную информацию о системе. Желтым и красным будут помечены замечания безопасности. В самом конце будет список рекомендаций по исправлению проблем.

Утилита поддерживает огромное количество проверок. Из основных:

◽ Системные настройки (юзеры без паролей, default umask, разрешения sudoers, shells и т.д.)
◽ Популярный софт (ssh, email, firewall, webserver и т.д.)
◽ Параметры ядра
◽ Состояние пакетов (установка security packages, автообновление пакетов и т.д.)

Linys отличается в первую очередь тем, что очень проста в использовании и наглядно объясняет все результаты. Не нужно быть 7 пядей во лбу по безопасности, чтобы оценить результат аудита. Да, утилита скорее всего много всего найдет и не все это надо исправлять. Но по описанию вы сами сможете оценить степень опасности, чтобы понять, надо вам что-то исправлять или нет.

В общем, рекомендую добавить утилиту в закладки, чтобы использовать для быстрого базового аудита безопасности linux сервера.

На прошлой неделе удалось посмотреть трансляцию доклада "HashiCorp Vault в k8s" на площадке DevOps Novosibirsk. Я не специалист по решению от HashiCorp и доклад для меня был полезным. В нем рассказывается о нескольких возможных подходах для работы с секретами, их плюсы и минусы. Для нетерпеливых, в итоге внутри компании докладчика остановились на проекте bank-vaults, который работает через MutatingAdmissionWebhook. Одним из важных критериев при выборе подхода играло соответствие 12 факторам.

В рамках Q&A часто упоминался предыдущий доклад автора "Hashicorp Vault и как его готовить для разных команд". Для полной картины по работе с Vault его также рекомендуется посмотреть. После трансляции была интересная дискуссия про backup Vault (в записи ее нет) и работы с ним при необходимости. Актуальная проблема/задача особенно в рамках больших компаний.

Как всегда, стоит помнить то, что отлично работает в одной компании, может не заходить у вас и к выбору технологий стоит подходить очень внимательно. При этом технологии активно развиваются и как говорит сам автор в рамках доклада, что, когда они внедряли у себя, некоторых фичей вообще не было в том же Vault.

Cilium представил визуальный редактор сетевых политик для Kubernetes (Kubernetes Network Policies и Cilium Network Policies). Теперь YAML для политики можно накликать в UI и параллельно получить наглядную схему.
http://amp.gs/5riK
Также, для тех, кто использует Cilium Hubble, заявляется возможность автоматической генерации политик на основе собранных flow логов.
Попробовать можно по ссылке http://amp.gs/5riH

🖱 Datanymizer - интересная штука для ситуаций, когда нам нужно быстро сделать тестовый набор данных (для разработчиков, например), на основе того, с чем мы работаем в проде. Описываем в yml что и с какими данными нужно делать, и просто создаём дамп с помощью утилиты. На выходе получаем готовый дамп, в котором вся чувствительная информация (если мы описали её ранее), будет заменена.

Подробнее об инструменте, на русском: https://evrone.ru/datanymizer

#фидбечат #postgresql

https://trafficcontrol.apache.org/ - ПО для построения собственной content delivery netwok.

#cdn #network #oss

Занимательные дашборды на основе данных телеметрии отправляемой кластерами ceph (там где отправка включена) по всему миру.

https://telemetry-public.ceph.com/d/ZFYuv1qWz/telemetry?orgId=1

#ceph

Запилил демо-стенд с kubegoat

kubegoat - уязвимый стенд для изучения вопросов безопасности в kubernetes. описание и исходники вот тут: https://github.com/madhuakula/kubernetes-goat. Сам стенд на самом деле не особо какую-то америку открывает, уязвимости простецкие - скорее мисконфигурации, но для входа в эту тему - сойдет

А я в свою очередь запилил автомтатизацию, чтобы стенд поднимался по одной команде:
https://github.com/bykvaadm/kubegoat-vagrant

#cpu #hardware #intel

See more: https://www.intel.com/content/www/us/en/processors/processor-numbers.html

Две подборки полезных книг и источников от Chris Short о devops и kubernetes:

- DevOps README (Github).
- Kubernetes README (Github).

#напочитать #devops #kubernetes

Как-то я упустил, но увидев понял, что это “почти” то, чего мы всегда ждали! Road Map для пентестеров (by Deteact)!

Ссыль: https://docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=141308356

Конечно можно уточнять детали и конечно это не столько последовательность действий для вас, но это очень может помочь в понимании правильности вашего движения, или послужить списком self-check’ов.

📎 Hyperscale SIG.

И да, скорее всего, вы в курсе, но если нет, то вот вам ещё один выход из ситуации с CentOS - остаться на CentOS Stream и внимательно следить за инициативой Hyperscale SIG, в рамках которой, планируется обеспечить работу CentOS Stream в крупномасштабной инфраструктуре. Началось всё с инженеров Twitter и Facebook (у последних часть инфраструктуры на CentOS Stream), и похоже что у этой идеи есть будущее. Какое - время покажет.

Если кратко, инициатива Hyperscale - это возможность развёртывания CentOS Stream в "суровом" проде, поддержка устаревающего функционала (привет iptables), возможность получения более свежих версий софта без потери стабильности (даже systemd обновлять подумывают), и если всё пойдёт хорошо, организация альтернативных сборок ядра, например, на основе LTS версий. Уверен, что список далеко не полный, так что выглядит это всё интересно.

Подробности можно получить по ссылкам ниже:

• Страница инициативы.
• Презентация Hyperscale SIG (слайды).
• Hyperscalers SIG introduction -- Davide Cavalca (видео).

Что из этого получится - будем посмотреть.

#centos #видео #напочитать

Вышел ceph 15.2.9 (Octopus)

В этом выпуске:

* MGR: можно отрубить прогресс модуль ``ceph progress on`` и ``ceph progress off``.

* OSD: Оптимизировано удаление PG.

https://ceph.io/releases/v15-2-9-Octopus-released

#ceph #release #octopus

Релиз распределенного реплицируемого блочного устройства DRBD 9.1.0 https://opennet.ru/54661/

Собираем helm-чарт в gitlab-ci и пушим в docker registry

Используем экспериментальную фичу с oci-registry в которую научился хелм. Это значит что мы можем чарты теперь просто пушить рядом с контейнерами докера с таким же именованием и тегированием.

deploy_helm:
  stage: deploy
  image: docker:18-dind
  services:
  - docker:18-dind
  environment: { name: production }
  tags: [docker]
  only:
    refs: [master]
  script:
  - export CHART_VERSION=$(grep version Chart.yaml | awk '{print $2}')
  - chmod 400 $DOCKERCONFIG
  - mkdir registry
  - alias helm='docker run -v $(pwd)/regisry:/root/.cache/helm/registry -v $(pwd):/apps -v ${DOCKERCONFIG}:/root/.docker/config.json -e DOCKER_CONFIG="/root/.docker" -e HELM_REGISTRY_CONFIG="/root/.docker/config.json" -e HELM_EXPERIMENTAL_OCI=1 alpine/helm'
  - helm chart save . registry.company.com/helm/charts/debezium:${CHART_VERSION}
  - helm chart push registry.company.com/helm/charts/debezium:${CHART_VERSION}

Структура репозитория - файлы чарта и .gitlab-ci.yml. После запуска деплоя создается воркер - докер с поддержкой docker-in-docker. Мы качаем публичный контейнер хелма на альпине. Все пробросы нужны для того чтобы хелм внутри докера умел ходить в регистри и сохранять промежуточный кэш для докер регистри. Помещаю его в "алиас" команды хелма для того чтобы логически отделить запуск хелма и запуск докера. последние 2 строки - сохранить чарт в локальный кэш и подготовить для пуша в регистри и собственно запушить. Чтобы всё это работало нужно подготовить docker config.json с готовыми параметрами пользователя для доступа к докер регистри и сохранить его в переменные джобы как файл.

#helm
#gitlab
#docker

В догонку к CI о сборке чарта, CI для деплоя это чарта

в этом деплое помимо докер конфига требуется еще сделать кубконфиг, в который поместить токен админа неймспейса (1 ci = 1 app = 1 admin = 1 ns). Здесь часть сниппета, остальное что пропущено абсолютно симметрично предыдущему посту.

```

  script:
  - chmod 400 $DOCKERCONFIG
  - chmod 400 $KUBECONFIG
  - mkdir registry
  - alias helm='docker run -v ${KUBECONFIG}:/root/.kube/config -v $(pwd)/regisry:/root/.cache/helm/registry -v $(pwd):/apps -v ${DOCKERCONFIG}:/root/.docker/config.json -e DOCKER_CONFIG="/root/.docker" -e HELM_REGISTRY_CONFIG="/root/.docker/config.json" -e HELM_EXPERIMENTAL_OCI=1 alpine/helm'
  - helm chart pull company.com/helm/charts/debezium:$chart_version
  - helm chart export rcompany.com/helm/charts/debezium:$chart_version
  - helm upgrade --install -f ....... 

```

#helm
#gitlab
#kubernetes

Детальное объяснение CVE-2021-21972. Правда я был уверен, что VMware вылечили это ещё в ноябре, но тут утверждают, что таблетка выпущена буквально на днях.
Какая из черепашек привирает?
https://swarm.ptsecurity.com/unauth-rce-vmware/

5 нм, 96 ядер, 192 потока и 12 каналов памяти DDR5. Характеристики самых мощных процессоров AMD, которые представят уже осенью
https://www.ixbt.com/news/2021/02/28/5-96-192-12-ddr5-amd.html

https://therecord.media/first-fully-weaponized-spectre-exploit-discovered-online/

#security #spectre #meltdown

📚 Red Hat Enterprise Linux 8 Security hardening. #redhat #книга