Infisical — это сквозная, зашифрованная и опенсорсная платформа управления паролями, которую можно использовать для централизации ключей API, учетных данных, баз данных и конфигураций.
Цель сервиса — сделать управление паролями более доступным для всех, а не только для служб безопасности.
Особенности:
👉 Удобный дашборд для управления паролями в разных проектах
👉 Клиентские SDK для получения паролей по запросу
👉 CLI для удобного управления
👉 Встроенная интеграция с GitHub, Vercel, Netlify и другими
👉 Автоматическое развертывание Kubernetes
👉 Полный контроль над данными
👉 Версионированиие паролей и восстановление
Как попробовать:
Для Linux:
git clone https://github.com/Infisical/infisical && cd "$(basename $_ .git)" && cp .env.example .env && docker-compose -f docker-compose.yml up
Для Windows:
git clone https://github.com/Infisical/infisical && cd infisical && copy .env.example .env && docker-compose -f docker-compose.yml up
#новость
Цель сервиса — сделать управление паролями более доступным для всех, а не только для служб безопасности.
Особенности:
👉 Удобный дашборд для управления паролями в разных проектах
👉 Клиентские SDK для получения паролей по запросу
👉 CLI для удобного управления
👉 Встроенная интеграция с GitHub, Vercel, Netlify и другими
👉 Автоматическое развертывание Kubernetes
👉 Полный контроль над данными
👉 Версионированиие паролей и восстановление
Как попробовать:
Для Linux:
git clone https://github.com/Infisical/infisical && cd "$(basename $_ .git)" && cp .env.example .env && docker-compose -f docker-compose.yml up
Для Windows:
git clone https://github.com/Infisical/infisical && cd infisical && copy .env.example .env && docker-compose -f docker-compose.yml up
#новость
🔥3
Cloud Hypervisor — это опенсорсный Virtual Machine Monitor (VMM), который работает поверх гипервизора KVM и Microsoft (MSHV).
Проект фокусируется на запуске современных Cloud Workloads на распространенных аппаратных архитектурах. Это означает современные операционные системы, в которых большая часть I/O операций обрабатывается паравиртуализированными устройствами (например, virtio), отсутствие требований к устаревшим устройствам и 64-разрядные процессоры.
Cloud Hypervisor реализован в Rust и основан на Rust VMM crates.
Эту прелесть можно собрать из исходников или из пакетов.
#новость
Проект фокусируется на запуске современных Cloud Workloads на распространенных аппаратных архитектурах. Это означает современные операционные системы, в которых большая часть I/O операций обрабатывается паравиртуализированными устройствами (например, virtio), отсутствие требований к устаревшим устройствам и 64-разрядные процессоры.
Cloud Hypervisor реализован в Rust и основан на Rust VMM crates.
Эту прелесть можно собрать из исходников или из пакетов.
#новость
👍1
Kubernetes в облаке: настройка безопасного контура
Еще одно мероприятие состоится 29 августа в 11:00.
Cloud Container Engine (CCE) — это облачный сервис, который предоставляет масштабируемые, высокопроизводительные кластеры Kubernetes. Он позволяет легко разворачивать контейнеризированные приложения и управлять ими в публичном облаке Cloud.ru.
В сервисе можно настроить и использовать различные режимы сетевого взаимодействия, в том числе новый режим Turbo — он позволяет напрямую сопоставлять IP-адреса из VPC к POD, а также ассоциировать контейнеры с группами безопасности.
На ивенте вы узнаете:
🔹 Что такое Network Policies и для чего их применяют
🔹 В чем разница между моделями реализации сетевой связанности внутри CCE Turbo и Tunnel Network в CCE
🔹 Какие преимущества по защите сетевой коммуникации между объектами есть у нового кластера CCE Turbo
🔹 В конце выступления в качестве примера спикер покажет, как настроить сообщение между Pods Wordpress и базой MySQL
Будет полезно для:
🔹 Экспертов DevOps
🔹 Cloud-native разработчиков
🔹 Администраторов, аналитиков IT-безопасности и другим техническим специалистам, которые уже работают или планируют работать с Kubernetes
Регистрация
#новость
Еще одно мероприятие состоится 29 августа в 11:00.
Cloud Container Engine (CCE) — это облачный сервис, который предоставляет масштабируемые, высокопроизводительные кластеры Kubernetes. Он позволяет легко разворачивать контейнеризированные приложения и управлять ими в публичном облаке Cloud.ru.
В сервисе можно настроить и использовать различные режимы сетевого взаимодействия, в том числе новый режим Turbo — он позволяет напрямую сопоставлять IP-адреса из VPC к POD, а также ассоциировать контейнеры с группами безопасности.
На ивенте вы узнаете:
🔹 Что такое Network Policies и для чего их применяют
🔹 В чем разница между моделями реализации сетевой связанности внутри CCE Turbo и Tunnel Network в CCE
🔹 Какие преимущества по защите сетевой коммуникации между объектами есть у нового кластера CCE Turbo
🔹 В конце выступления в качестве примера спикер покажет, как настроить сообщение между Pods Wordpress и базой MySQL
Будет полезно для:
🔹 Экспертов DevOps
🔹 Cloud-native разработчиков
🔹 Администраторов, аналитиков IT-безопасности и другим техническим специалистам, которые уже работают или планируют работать с Kubernetes
Регистрация
#новость
❤2👍2
В последние годы Kubernetes стал очень популярным, что привлекает злоумышленников, позабавиться с железом с различными целями. Подцепить программу-вымогателя и стать жертвой хакера — это не смешно, а когда злодей сцапает весь кластер... Вот и начинается конец света 😱
Основные ошибки, которые допускают админы: ошибка привилегированного анонимного доступа, которая до сих пор остается глобальной проблемой и запуск kubectl-прокси с аргументами, которые открывают доступ к кластеру из интернета. Эти моменты упоминаются в сети почти также, как байки про rm -rf🤦♂️, но так никто и мотает на ус.
Поиск жертв ведется с помощью Shodan, Censys или Zoomeye, а еще, сканируя IP-адреса с помощью ботнетов или masscan и Zgrab.
Часто открыты HTTPS-порты 443 и 6443, HTTP-порты 8001 и 8080, а также 9999.
В кластерах может храниться куча инфы: данные клиентов, финансовая документация, интеллектуальная собственность, учетные данные, конфиги, образы контейнеров, учетные данные для доступа к инфраструктуре, ключи шифрования, в общем все, чтобы стребовать кругленькую сумму, шантажировать или просто все сломать потехи ради.
Получив доступ на кластер, можно выполнить всего одну команду, чтобы все узнать:
/api/v1/pods — Вывести доступные поды
/api/v1/nodes — Вывести доступные узлы
/api/v1/configmaps — Вывести конфигурации кластера K8s
/api/v1/secrets — Вывести все секреты, хранящиеся в etcd
В общем, господа, будьте внимательны.
А подробнее изучить материал, можно тут.
#новость
Основные ошибки, которые допускают админы: ошибка привилегированного анонимного доступа, которая до сих пор остается глобальной проблемой и запуск kubectl-прокси с аргументами, которые открывают доступ к кластеру из интернета. Эти моменты упоминаются в сети почти также, как байки про rm -rf🤦♂️, но так никто и мотает на ус.
Поиск жертв ведется с помощью Shodan, Censys или Zoomeye, а еще, сканируя IP-адреса с помощью ботнетов или masscan и Zgrab.
Часто открыты HTTPS-порты 443 и 6443, HTTP-порты 8001 и 8080, а также 9999.
В кластерах может храниться куча инфы: данные клиентов, финансовая документация, интеллектуальная собственность, учетные данные, конфиги, образы контейнеров, учетные данные для доступа к инфраструктуре, ключи шифрования, в общем все, чтобы стребовать кругленькую сумму, шантажировать или просто все сломать потехи ради.
Получив доступ на кластер, можно выполнить всего одну команду, чтобы все узнать:
/api/v1/pods — Вывести доступные поды
/api/v1/nodes — Вывести доступные узлы
/api/v1/configmaps — Вывести конфигурации кластера K8s
/api/v1/secrets — Вывести все секреты, хранящиеся в etcd
В общем, господа, будьте внимательны.
А подробнее изучить материал, можно тут.
#новость
👍3❤1
В России не любят Линукс, а я не люблю виртуальные машины. Что делать?
☎️ Сейчас госструктуры (и не только ) используют Linux отечественной сборки: AlterOS (CentOS 7), ROSA Linux (аля Fedora), ALT Linux (он и есть ALT), ОС "Атлант" (Debian Buster), Astra Linux (Debian Buster 10) и RED OS (CentOS).
Все сборки хорошо перебраны, где-то есть крутые допы в виде софта, где-то урезанный дистр, но в целом — хорошая отечественная ОС.
Так вот, всем подавай Windows. Дома, пожалуйста, пиратка и вперед, а в организациях ⛔ ни-ни. Официальное не поставишь, ибо «⛔ забугорное ни-ни», вот и пришлось переобуваться.
Статья расскажет, как этот *nix-зоопарк установить и начать любить.
#новость
☎️ Сейчас госструктуры (и не только ) используют Linux отечественной сборки: AlterOS (CentOS 7), ROSA Linux (аля Fedora), ALT Linux (он и есть ALT), ОС "Атлант" (Debian Buster), Astra Linux (Debian Buster 10) и RED OS (CentOS).
Все сборки хорошо перебраны, где-то есть крутые допы в виде софта, где-то урезанный дистр, но в целом — хорошая отечественная ОС.
Так вот, всем подавай Windows. Дома, пожалуйста, пиратка и вперед, а в организациях ⛔ ни-ни. Официальное не поставишь, ибо «⛔ забугорное ни-ни», вот и пришлось переобуваться.
Статья расскажет, как этот *nix-зоопарк установить и начать любить.
#новость
👍4❤3
Платформенный инжиниринг как следующий этап развития DevOps
Подходы к оптимизации процессов разработки и развертывания хорошо известны и задокументированы: DevOps, SRE, облачные сервисы вроде Containerum Kubernetes или DBaaS for PostgreSQL.
Однако использование разных подходов еще не гарантирует, что разработчики приблизятся к запуску программного обеспечения. Чтобы решить проблемы, которые могли возникнуть из-за плохого внедрения DevOps или SRE, можно создать платформу для поддержки приложений.
Платформенный инжиниринг (ПИ) позволяет ускорить процесс разработки, улучшить качество продукта и снизить затраты.
Что такое платформенный инжиниринг
Это процесс разработки и создания платформ, которые предоставляют инфраструктуру и инструменты для поддержки различных приложений и сервисов. Основная цель ПИ — создание мощной и универсальной платформы, которая может поддерживать различные процессы разработки и эксплуатации приложений.
Чем ПИ отличается от DevOps и SRE
Это три концепции и методологии, используемые в информационных технологиях для оптимизации процессов разработки и поддержки ПО, но отличаются по нескольким параметрам:
🔹 Сфера ответственности. ПИ фокусируется на разработке и создании платформ для поддержки приложений, а DevOps и SRE рассматривают процессы разработки и эксплуатации ПО.
🔹 Масштаб. ПИ ориентирован на создание гибких платформ, тогда как DevOps и SRE работают на уровне процессов и операций в пределах системы.
🔹 Цели и задачи. DevOps нацелен на сокращение времени между разработкой и развертыванием ПО. SRE фокусируется на создании высоконадежных систем и их поддержке. ПИ ориентирован на обеспечение инфраструктуры и услуг в виде платформы для поддержки различных приложений и сервисов.
Подробнее
#новость
Подходы к оптимизации процессов разработки и развертывания хорошо известны и задокументированы: DevOps, SRE, облачные сервисы вроде Containerum Kubernetes или DBaaS for PostgreSQL.
Однако использование разных подходов еще не гарантирует, что разработчики приблизятся к запуску программного обеспечения. Чтобы решить проблемы, которые могли возникнуть из-за плохого внедрения DevOps или SRE, можно создать платформу для поддержки приложений.
Платформенный инжиниринг (ПИ) позволяет ускорить процесс разработки, улучшить качество продукта и снизить затраты.
Что такое платформенный инжиниринг
Это процесс разработки и создания платформ, которые предоставляют инфраструктуру и инструменты для поддержки различных приложений и сервисов. Основная цель ПИ — создание мощной и универсальной платформы, которая может поддерживать различные процессы разработки и эксплуатации приложений.
Чем ПИ отличается от DevOps и SRE
Это три концепции и методологии, используемые в информационных технологиях для оптимизации процессов разработки и поддержки ПО, но отличаются по нескольким параметрам:
🔹 Сфера ответственности. ПИ фокусируется на разработке и создании платформ для поддержки приложений, а DevOps и SRE рассматривают процессы разработки и эксплуатации ПО.
🔹 Масштаб. ПИ ориентирован на создание гибких платформ, тогда как DevOps и SRE работают на уровне процессов и операций в пределах системы.
🔹 Цели и задачи. DevOps нацелен на сокращение времени между разработкой и развертыванием ПО. SRE фокусируется на создании высоконадежных систем и их поддержке. ПИ ориентирован на обеспечение инфраструктуры и услуг в виде платформы для поддержки различных приложений и сервисов.
Подробнее
#новость
👍3❤2
MTKPI — мультитул для тестирования образов Kubernetes. Внутри образ docker со всеми популярными и необходимыми инструментами для тестирования на проникновение.
Когда вы проводите пентест кластера Kubernetes, вы будете использовать автоматизированные инструменты. Если кластер ограничен по трафику и вы не можете загрузить необходимые инструменты в поду? Или файловая система контейнера readOnly?
Единственное решение — использование готового к использованию образа.
#новость
Когда вы проводите пентест кластера Kubernetes, вы будете использовать автоматизированные инструменты. Если кластер ограничен по трафику и вы не можете загрузить необходимые инструменты в поду? Или файловая система контейнера readOnly?
Единственное решение — использование готового к использованию образа.
#новость
❤2
Collecting and analyzing Linux kernel crashes - LKCD.pdf
4.9 MB
Встретилось на просторах крутое руководство по организации сохранения аварийных дампов Linux ядра при помощи инструментария LKCD, для последующего анализа причин инцидента.
LKCD работает в два этапа:
🔹 На этом этапе происходит сбой ядра. Когда это происходит, LKCD начинает
действовать при условии, что он был включен в boot sequence. LKCD копирует
содержимое памяти в раздел подкачки или в выделенный раздел сбора аварийного дампа.
После завершения этого этапа система перезагружается.
🔹 Как только система загружается в оперативный режим, запускается LKCD.
(например, в RedHat LKCD запускается скрипт /etc/rc.sysinit). Затем LKCD запускает две команды:
- lkcd config — подготавливает систему к следующему сбою.
- lkcd save — копирует данные аварийного дампа из их временного
хранилища на устройстве дампа в каталог постоянного хранилища. Вместе с ядром дампа создаются и копируются файл анализа и файл карты.
Завершение этого двухэтапного цикла означает успешный аварийный дамп LKCD.
#новость
LKCD работает в два этапа:
🔹 На этом этапе происходит сбой ядра. Когда это происходит, LKCD начинает
действовать при условии, что он был включен в boot sequence. LKCD копирует
содержимое памяти в раздел подкачки или в выделенный раздел сбора аварийного дампа.
После завершения этого этапа система перезагружается.
🔹 Как только система загружается в оперативный режим, запускается LKCD.
(например, в RedHat LKCD запускается скрипт /etc/rc.sysinit). Затем LKCD запускает две команды:
- lkcd config — подготавливает систему к следующему сбою.
- lkcd save — копирует данные аварийного дампа из их временного
хранилища на устройстве дампа в каталог постоянного хранилища. Вместе с ядром дампа создаются и копируются файл анализа и файл карты.
Завершение этого двухэтапного цикла означает успешный аварийный дамп LKCD.
#новость
👍5❤3
🚜🚛 blendOS — комбайн Ubuntu, Fedora и Arch Linux в одной системе
Операционная система blendOS 23.01 основана на Arch и GNOME на Wayland позволяет использовать приложения из других популярных ОС.
В blendOS можно использовать менеджеры пакетов из Arch Linux (pacman), из Fedora — это dnf, а из Ubuntu взяли apt, реализовав это все на контейнерах Distrobox/Podman. При первом запуске пакетных менеджеров Fedora или Ubuntu соответствующие контейнеры создаются автоматически и не требуют дополнительных действий.
Вся красота становится доступна при полноценной установке ОС, а еще, разрабы реализовали поддержку изолированных приложений Flatpak.
Изучить
#новость
Операционная система blendOS 23.01 основана на Arch и GNOME на Wayland позволяет использовать приложения из других популярных ОС.
В blendOS можно использовать менеджеры пакетов из Arch Linux (pacman), из Fedora — это dnf, а из Ubuntu взяли apt, реализовав это все на контейнерах Distrobox/Podman. При первом запуске пакетных менеджеров Fedora или Ubuntu соответствующие контейнеры создаются автоматически и не требуют дополнительных действий.
Вся красота становится доступна при полноценной установке ОС, а еще, разрабы реализовали поддержку изолированных приложений Flatpak.
Изучить
#новость
👍9❤3😍1
😱😱 Более 10 тыс. сетевых устройств Cisco взломаны из-за уязвимости нулевого дня
Более десятка тысяч сетевых устройств Cisco оказались взломанными из-за ошибки нулевого дня в операционной системе Cisco IOS XE. Хакеры подселили в эти устройства различных вредоносов.
В число пострадавших устройств вошли корпоративные и промышленные роутеры, точки доступа, беспроводные контроллеры и многое другое.
Злоумышленники воспользовались критической уязвимостью (CVE-2023-20198), которая затрагивает все устройства под управлением Cisco IOS XE при условии, что включён Web UI и режим HTTP/HTTPS-сервера.
Уязвимость позволяет удаленному злоумышленнику, не прошедшему авторизацию, создать учетную запись в уязвимой системе с уровнем привилегий 15. Затем злоумышленник может использовать эту учетную запись для получения контроля над уязвимой системой. Иными словами, любой желающий может воспользоваться этой уязвимостью для получения административных привилегий в системе.
В Cisco рекомендуют администраторам временно - до выпуска патча - деактивировать функцию HTTP/HTTPS-сервера и внимательно отслеживать любые подозрительные события и свежесозданные аккаунты. Они вполне могут быть признаками текущей атаки.
#новость
Более десятка тысяч сетевых устройств Cisco оказались взломанными из-за ошибки нулевого дня в операционной системе Cisco IOS XE. Хакеры подселили в эти устройства различных вредоносов.
В число пострадавших устройств вошли корпоративные и промышленные роутеры, точки доступа, беспроводные контроллеры и многое другое.
Злоумышленники воспользовались критической уязвимостью (CVE-2023-20198), которая затрагивает все устройства под управлением Cisco IOS XE при условии, что включён Web UI и режим HTTP/HTTPS-сервера.
Уязвимость позволяет удаленному злоумышленнику, не прошедшему авторизацию, создать учетную запись в уязвимой системе с уровнем привилегий 15. Затем злоумышленник может использовать эту учетную запись для получения контроля над уязвимой системой. Иными словами, любой желающий может воспользоваться этой уязвимостью для получения административных привилегий в системе.
В Cisco рекомендуют администраторам временно - до выпуска патча - деактивировать функцию HTTP/HTTPS-сервера и внимательно отслеживать любые подозрительные события и свежесозданные аккаунты. Они вполне могут быть признаками текущей атаки.
#новость
❤7💯2👍1👾1