Forwarded from DevOps&SRE Library
Forwarded from Geeks (A. Shpak)
Пятничное, но в четверг. То, что вы обязательно посмотрите, но никогда не потащите в свой продакшн. Лёгкий http-сервер написанный на bash. Идея не нова, но каждый раз вызывает у меня восхищение. Умеет в get- и post-запросы, а остальные методы вам просто не нужны, даже если вы считаете иначе. Называется sherver. Приятная плюшка - он умеет раздавать статику!
https://github.com/remileduc/sherver
https://github.com/remileduc/sherver
GitHub
GitHub - remileduc/sherver: Pure Bash lightweight web server.
Pure Bash lightweight web server. Contribute to remileduc/sherver development by creating an account on GitHub.
Forwarded from DevOps&SRE Library
Probing Endpoints with Blackbox-Exporter. How ? Why ?
https://medium.com/trendyol-tech/probing-endpoints-with-blackbox-exporter-how-why-4417fce0993a
https://medium.com/trendyol-tech/probing-endpoints-with-blackbox-exporter-how-why-4417fce0993a
Forwarded from DevOps&SRE Library
Take your alerts under control
https://medium.com/@pv.safronov/take-your-alerts-under-control-af7e3a668202
https://medium.com/@pv.safronov/take-your-alerts-under-control-af7e3a668202
Forwarded from DevOps&SRE Library
Forwarded from DevOps&SRE Library
Scaling an Alerting Service Using AWS Lambda Functions
https://engineering.salesforce.com/scaling-an-alerting-service-using-aws-lambda-functions-1e8fe9394986
https://engineering.salesforce.com/scaling-an-alerting-service-using-aws-lambda-functions-1e8fe9394986
Forwarded from DevOps&SRE Library
certinfo
Similar to openssl x509 -in <file> -text command, but handles chains, multiple files and TCP addresses. TLS/SSL version prints as well when using TCP address argument.https://github.com/pete911/certinfo
Forwarded from DevOps&SRE Library
Observability Tips and Tricks For Using Grafana and Prometheus
https://hackernoon.com/observability-tips-and-tricks-for-using-grafana-and-prometheus
https://hackernoon.com/observability-tips-and-tricks-for-using-grafana-and-prometheus
Переезд в Yandex.Cloud и год жизни после: что получили, с какими особенностями столкнулись и как их обошли / Хабр
https://habr.com/ru/company/m2tech/blog/595841/
https://habr.com/ru/company/m2tech/blog/595841/
Хабр
Переезд в Yandex.Cloud и год жизни после: что получили, с какими особенностями столкнулись и как их обошли
Привет! Меня зовут Максим Гореликов, я Backend Tech Lead в M2. Несколько вещей, которые надо знать об этой статье, прежде чем углубляться в нее: эта статья — расшифровка моего доклада на конференции...
Forwarded from DevOps&SRE Library
Top PostgreSQL monitoring metrics for Prometheus – Includes cheat sheet
https://dev.to/eckelon/top-postgresql-monitoring-metrics-for-prometheus-includes-cheat-sheet-47ch
https://dev.to/eckelon/top-postgresql-monitoring-metrics-for-prometheus-includes-cheat-sheet-47ch
Forwarded from DevOps&SRE Library
carvel-imgpkg
imgpkg (pronounced: "image package") is a tool that allows users to store a set of arbitrary files as an OCI image. One of the driving use cases is to store Kubernetes configuration (plain YAML, ytt templates, Helm templates, etc.) in OCI registry as an image.https://github.com/vmware-tanzu/carvel-imgpkg
Forwarded from k8s (in)security (D1g1)
В этом году, проводя свои тренинги по безопасности
НО стоит помнить, что все равно остаются системные вызовы, через которые можно это совершить (через них также возможно совершить побег через хостовое ядро).
При этом мой хороший товарищ, автор великолепной Linux Kernel Defence Map подсказал замечательную статью проекта
Это полезно знать как
Kubernetes, я был приятно удивлен встретить компании, у которых микросервисы, реализующие бизнес-задачи, выполнялись с описанием:securityContext:Это очень круто уменьшает
capabilities:
drop:
- all
attack surface для побега из контейнера через уязвимости ядра хостовой ОС (особенно с учетом того, что CAP_NET_RAW есть by default). НО стоит помнить, что все равно остаются системные вызовы, через которые можно это совершить (через них также возможно совершить побег через хостовое ядро).
При этом мой хороший товарищ, автор великолепной Linux Kernel Defence Map подсказал замечательную статью проекта
grsecurity под названием "False Boundaries and Arbitrary Code Execution" (заметка не свежая, но актуальная и по сей день). Где рассказывается о том, что capabilities в архитектурном плане скажем так не без греха, и в каком-то плане даже сломаны.Это полезно знать как
blue team, так и red team. Поэтому даже в условиях drop all стоит заботиться о том, что происходит в ваших контейнерах. Тоесть runtime security все равно остается важным элементов Kubernetes security.kubesec.io
containers[] .securityContext .capabilities .drop | index("ALL") :: kubesec.io
Forwarded from Sysadmin Tools 🇺🇦