Teleport - обеспечивает подключение, аутентификацию, контроль доступа и аудит инфраструктуры.

Вот почему вам может пригодиться Teleport:
- настройте единый вход для всей вашей облачной инфраструктуры (SSO)
- защитите доступ к облачным и локальным сервисам с помощью конечных точек mTLS и краткосрочных сертификатов.
- создайте туннели для доступа к службам за NAT и брандмауэрами.
- предоставьте журнал аудита с записью сеанса и воспроизведением для различных протоколов.
- унифицировать контроль доступа на основе ролей (RBAC) и реализовать принцип наименьших привилегий при запросах на доступ.

* Версия с открытым исходным кодом поддерживает только GitHub SSO.

Teleport работает с SSH, Kubernetes, базами данных, RDP и веб-сервисами.

https://github.com/gravitational/teleport

опубликовано в @gitgate

#sso #security #rbac #ssh #k8s #rdp

fastapi-guard - библиотека безопасности для FastAPI, которая предоставляет промежуточное ПО для управления IP-адресами, регистрации запросов, обнаружения попыток проникновения и т. д. Она легко интегрируется с FastAPI, обеспечивая надежную защиту от различных угроз безопасности.

Возможности:
- контроль доступа на основе IP-адресов.
- блокировка запросов от определенных пользовательских агентов.
- ограничение скорости: ограничение количества запросов с одного IP-адреса.
- автоматическая блокировка IP-адресов после определенного количества подозрительных запросов.
- обнаружение и регистрация потенциальных попыток проникновения.
- регистрация событий безопасности в пользовательском файле.
- настройка параметров CORS для вашего приложения FastAPI.
- блокировка запросов с IP-адресов поставщиков облачных услуг (AWS, GCP, Azure).
- использование API IPInfo.io для определения страны IP-адреса.
- распределенное управление состоянием (необязательно) интеграция Redis для общего состояния безопасности между экземплярами
- распределенное хранилище с поддержкой Redis или хранилище в памяти для развертываний отдельных экземпляров

https://github.com/rennf93/fastapi-guard

опубликовано в @gitgate

#fastapi #security #geoip

Hanko - решение с открытым исходным кодом для аутентификации и управления пользователями, которое позволяет отказаться от паролей при входе в систему и при этом полностью готово к развертыванию уже сегодня.

Возможности:
- поддерживает все современные методы аутентификации, включая пароли, вход через социальные сети и единый вход SAML.
- очень гибкие параметры конфигурации (например, необязательные/удаляемые пользователем пароли, только ключ доступа, только OAuth)
- быстрая интеграция с веб-компонентами Hanko Elements (встраиваемые компоненты для входа/регистрации и профиля учетной записи)
- API-ориентированный, компактный, cloud-ready

https://github.com/teamhanko/hanko

опубликовано в @gitgate

#security #auth #saml

Trivy - это комплексный и универсальный сканер безопасности. Trivy имеет сканеры, которые ищут проблемы безопасности, и цели, где он может их найти.

Цели (которые может сканировать Trivy):
- образ контейнера
- файловая система
- репозиторий Git (удалённый)
- образ виртуальной машины
- кубернетес

Сканеры (то, что Trivy может там найти):
- используемые пакеты ОС и программные зависимости (SBOM)
- известные уязвимости (CVE)
- проблемы IaC и неправильные конфигурации
- конфиденциальная информация и секреты
- лицензии на программное обеспечение

https://github.com/aquasecurity/trivy

Подсказал: Михаил Исаев - @ismvru

Опубликовано в @gitgate

#security #cve #docker #k8s #git #sbom #linter

grype - сканер уязвимостей для образов контейнеров и файловых систем. Работает с Syft, мощным инструментом SBOM (программный список материалов) для образов контейнеров и файловых систем.

Сканируйте содержимое образа контейнера или файловой системы для поиска известных уязвимостей.

Найдите уязвимости для основных пакетов операционной системы:
- Alpine
- Amazon Linux
- BusyBox
- CentOS
- CBL-Mariner
- Debian
- Distroless
- Oracle Linux
- Red Hat (RHEL)
- Ubuntu
- Wolfi

Найдите уязвимости для языковых пакетов:
- Ruby (Gems)
- Java (JAR, WAR, EAR, JPI, HPI)
- JavaScript (NPM, Yarn)
- Python (Egg, Wheel, Poetry, requirements.txt/setup.py files)
- Dotnet (deps.json)
- Golang (go.mod)
- PHP (Composer)
- Rust (Cargo)

Поддерживает форматы образов Docker, OCI и Singularity. Поддержка OpenVEX для фильтрации и дополнения результатов сканирования.

https://github.com/anchore/grype

Подсказал: Михаил Исаев - @ismvru

Опубликовано в @gitgate

#security #cve #docker #sbom #linter

Haskell Dockerfile Linter - умный линтер Dockerfile, который помогает вам использовать лучшие практики при создании образов Docker.

Линтер разбирает Dockerfile в AST и выполняет правила поверх AST. Он базируется на ShellCheck для проверки кода Bash внутри инструкций RUN.

https://github.com/hadolint/hadolint

Подсказал: Михаил Исаев - @ismvru

Опубликовано в @gitgate

#security #cicd #docker #dockerfile #linter

Dockle - средство проверки образов контейнеров для обеспечения безопасности, помогающее создать лучшие образа Docker.

Возможности:
- обнаружение уязвимостей контейнера
- помощь в создании Dockerfile основанная на best-practice
- простое использование, укажите только имя образа
- поддержка показателей CIS
- подходит для таких CI, как Travis CI, CircleCI, Jenkins и т. д.

https://github.com/goodwithtech/dockle

Подсказал: Михаил Исаев - @ismvru

Опубликовано в @gitgate

#security #cicd #docker #dockerfile #linter

KICS - выявляйте уязвимости безопасности, проблемы соответствия и неправильные конфигурации инфраструктуры на ранних этапах цикла разработки вашей инфраструктуры как кода с помощью KICS от Checkmarx.

KICS означает «Keeping Infrastructure as Code Secure» (сохранение инфраструктуры в безопасности кода), это решение с открытым исходным кодом, которое необходимо для любого облачного проекта.

https://github.com/Checkmarx/kics

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #docker #k8s #terraform #linter

Gitleaks - инструмент для обнаружения секретов, таких как пароли, ключи API и токены в репозиториях git, файлах и всем остальном, что вы хотите передать через stdin.

https://github.com/gitleaks/gitleaks

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #git #linter

detect-secrets - удачно названный модуль для (сюрприз, сюрприз) обнаружения секретов в кодовой базе.

Однако, в отличие от других подобных пакетов, которые сосредоточены исключительно на поиске секретов, этот пакет разработан с учетом потребностей корпоративного клиента: он предоставляет обратно совместимые, систематические средства для:

- предотвращение попадания новых секретов в кодовую базу,
- обнаружение явного обхода таких мер предосторожности и
- предоставление контрольного списка секретов для переноса в более безопасное хранилище.

https://github.com/Yelp/detect-secrets

Подсказал: @Celentano_21_veka

Опубликовано в @gitgate

#security #cicd #git #linter

kp2 - инструмент командной строки (CLI) для доступа к файлам Keepass 2 (kdbx).

https://github.com/tobischo/kp2

опубликовано в @gitgate

#security #cli #toold #keepas

NetBird - объединяет в одной платформе одноранговую частную сеть, не требующую настройки, и централизованную систему контроля доступа, что упрощает создание безопасных частных сетей для вашей организации или дома.

Подключение: NetBird создает наложенную сеть на основе WireGuard, которая автоматически соединяет ваши машины через зашифрованный туннель, оставляя позади хлопоты с открытием портов, сложными правилами брандмауэра, VPN-шлюзами и т. д.

Безопасность: NetBird обеспечивает безопасный удаленный доступ, применяя детальные политики доступа, позволяя вам управлять ими интуитивно из одного места. Работает универсально в любой инфраструктуре.

Принцип работы:
- на каждой машине в сети запущен NetBird Agent (или Client), который управляет WireGuard.
- каждый агент подключается к службе управления, которая хранит состояние сети, управляет IP-адресами одноранговых узлов и распространяет обновления сети среди агентов (одноранговых узлов).
- агент NetBird использует WebRTC ICE, реализованный в библиотеке pion/ice, для обнаружения кандидатов на подключение при установлении однорангового соединения между машинами.
- кандидаты на подключение обнаруживаются с помощью STUN-серверов.
- агенты устанавливают соединение через Signal Service, передавая кандидатам зашифрованные сообщения по протоколу P2P.
- иногда обход NAT не удается из-за строгих NAT (например, мобильный NAT операторского класса), и p2p-соединение невозможно. Когда это происходит, система возвращается к серверу-ретранслятору, называемому TURN, и через сервер TURN устанавливается защищенный туннель WireGuard.

https://github.com/netbirdio/netbird

Подсказал: Max Zotov - @sf1nk5

опубликовано в @gitgate

#security #vpn #wd #wireguard

Firezone - платформа с открытым исходным кодом для безопасного управления удаленным доступом для организаций любого размера.

В отличие от большинства VPN, Firezone использует гранулярный, наименее привилегированный подход к управлению доступом с групповыми политиками, которые контролируют доступ к отдельным приложениям, целым подсетям и всему, что находится между ними.

Возможности:
- скорость: построен на базе WireGuard и работает в 3–4 раза быстрее OpenVPN.
- масштабируемость: разверните два или более шлюзов для автоматической балансировки нагрузки и переключения при сбое.
- конфиденциально: одноранговые, сквозные зашифрованные туннели предотвращают маршрутизацию пакетов через нашу инфраструктуру.
- безопасность: отсутствие возможности атаки благодаря технологии Firezone Holepunching, которая создает туннели «на лету» во время доступа.
- открытость: весь продукт имеет открытый исходный код, что позволяет любому человеку проводить аудит кодовой базы.
- гибкость: аутентификация пользователей по электронной почте, Google Workspace, Okta, Entra ID или OIDC и автоматическая синхронизация пользователей и групп.
- простота: развертывайте шлюзы и настраивайте доступ за считанные минуты с помощью удобного пользовательского интерфейса администратора.

https://github.com/firezone/firezone

Подсказал: Max Zotov - @sf1nk5 для Михаил Исаев - @ismvru

опубликовано в @gitgate

#security #vpn #wg #wireguard

Warpgate - интеллектуальный смарт хост для протоколов SSH, HTTPS, MySQL и PostgreSQL для Linux, которому не нужны специальные клиентские приложения.

Возможности:
- настройте его в своей DMZ, добавьте учетные записи пользователей и легко назначьте их определенным хостам и URL-адресам в сети.
- Warpgate будет записывать каждый сеанс, чтобы вы могли просмотреть его в реальном времени и воспроизвести позже через встроенный веб-интерфейс администратора.
- не является jumphost - вместо этого перенаправляет ваши соединения напрямую к цели.
- cобственная поддержка 2FA и SSO (TOTP и OpenID Connect)
- один двоичный файл без зависимостей.
- написано на 100% безопасном Rust.

https://github.com/warp-tech/warpgate

опубликовано в @gitgate

#security #ssh #http #https #mysql #postgres #access #2fa #sso #totp #openid

OAuth2-Proxy - гибкий инструмент с открытым исходным кодом, который может работать как автономный обратный прокси (reverse proxy)-сервер или как компонент промежуточного программного обеспечения (middleware), интегрированный в существующие настройки обратного прокси-сервера или балансировщика нагрузки.

Он обеспечивает простой и безопасный способ защиты ваших веб-приложений с помощью аутентификации OAuth2 / OIDC. Как обратный прокси-сервер, он перехватывает запросы к вашему приложению и перенаправляет пользователей к поставщику OAuth2 для аутентификации. Как промежуточное программное обеспечение, он может быть бесшовно интегрирован в вашу существующую инфраструктуру для обработки аутентификации для нескольких приложений.

OAuth2-Proxy поддерживает множество поставщиков OAuth2, а также OIDC. Либо через универсальный клиент OIDC, либо через специальную реализацию для Google, Microsoft Entra ID, GitHub, login.gov и других. С помощью специализированных реализаций поставщиков oauth2-proxy может извлекать больше информации о пользователе, например, предпочтительные имена пользователей и группы. Затем эти данные можно пересылать в виде заголовков HTTP в ваши вышестоящие приложения.

https://github.com/oauth2-proxy/oauth2-proxy

опубликовано в @gitgate

#security #oauth #oidc #proxy #middleware

CamXploit - разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.

⚠️ Отказ от ответственности: этот инструмент предназначен исключительно для образовательных и исследовательских целей в области безопасности. Несанкционированное сканирование систем, которым вы не владеете, незаконно. Используйте его ответственно.

Возможности:
- сканирует все распространенные порты видеонаблюдения
- обнаруживает открытые страницы входа в систему с помощью камеры
- проверяет, является ли устройство камерой для потоковой передачи
- определяет марки камер и известные уязвимости
- тестирование учетных данных по умолчанию на страницах входа
- предоставляет ссылки для ручного поиска (Shodan, Censys, Zoomeye, Google Dorking)
- рекомендации Google Dorking для более глубокой разведки
- улучшенное обнаружение камер с подробным анализом портов и идентификацией бренда
- обнаружение прямой трансляции по протоколам RTSP, RTMP, HTTP и MMS
- подробная информация об IP-адресе и местоположении со ссылками на Google Maps/Earth
- многопоточное сканирование портов для более быстрых результатов
- улучшенная обработка ошибок и поддержка SSL
- детальное определение марки камеры (Hikvision, Dahua, Axis, Sony, Bosch, Samsung, Panasonic, Vivotek, CP Plus)
- поддержка протокола ONVIF для стандартизированной связи с камерами
- умная защита от перебора паролей с ограничением скорости
- подробный анализ портов с указанием информации о сервере и типах аутентификации

https://github.com/spyboy-productions/CamXploit

опубликовано в @gitgate

#security #ipcamera #onvif

VoidAuth - провайдер SSO-аутентификации и управления пользователями с открытым исходным кодом, который защищает ваши приложения, размещенные на собственном сервере. Он прост в использовании как для администраторов, так и для конечных пользователей и поддерживает такие полезные функции, как пароли, приглашение пользователей, самостоятельная регистрация, поддержка по электронной почте и многое другое!

Возможности:
- поставщик OpenID Connect (OIDC)
- proxy ForwardAuth
- управление пользователями
- самостоятельная регистрация пользователей и приглашения
- настраиваемый брендинг (логотип, заголовок, цвет темы, шаблоны электронной почты)
- ключи доступа и учетные записи, требующие только ключей доступа
- безопасный сброс пароля с помощью подтверждения электронной почты
- шифрование с использованием базы данных Postgres или SQLite

https://github.com/voidauth/voidauth/

Web: https://voidauth.app/

Опубликовано в @gitgate

#sso #openid #passkey #security #auth

ssh-audit - инструмент для аудита конфигурации SSH-сервера и клиента.

Возможности:
- анализ конфигурации SSH как на сервере, так и на клиенте;
- захват баннера, распознавание устройства или программного обеспечения и операционной системы, обнаружение сжатия;
- сбор алгоритмов обмена ключами, ключей хоста, шифрования и аутентификации сообщений;
- информация о безопасности алгоритма (с какого времени, удален/отключен, небезопасен/слаб/устаревший и т. д.);
- рекомендации по алгоритму (добавлять или удалять в зависимости от распознанной версии программного обеспечения);
- анализ совместимости версий SSH на основе информации об алгоритме;
- историческая информация из OpenSSH, Dropbear SSH и libssh;
- проверка политик безопасности для обеспечения соответствия защищенной/стандартной конфигурации;
- работает на Linux и Windows;
- поддерживает Python 3.9 - 3.13;
- нет зависимостей

https://github.com/jtesta/ssh-audit

Подсказал: Max Zotov - @Sf1nk5

Опубликовано в @gitgate

#ssh #security #audit

PatchMon - обеспечивает централизованное управление обновлениями в различных серверных средах. Агенты обмениваются данными с сервером PatchMon только по исходящим каналам, исключая входящие порты на контролируемых хостах, обеспечивая при этом всестороннюю видимость и безопасную автоматизацию.

Возможности:
- настраиваемая панель управления с возможностью создания и упорядочивания карточек для каждого пользователя.
- многопользовательские учетные записи (администратор и обычные пользователи)
- роли, разрешения и RBAC
- список хостов/групп с ключевыми атрибутами и сведениями об операционной системе.
- группировка хостов (создание и управление группами хостов)
- инвентаризация пакетов на всех хостах
- обзор и количество устаревших пакетов.
- отслеживание количества репозиториев на хост
- управление версиями агента и хранение содержимого скриптов в базе данных.
- URL/протокол/хост/порт сервера
- переключатель регистрации и выбор роли пользователя по умолчанию
- REST API по адресу /api/v1 с аутентификацией JWT.
- автоматическая регистрация контейнеров LXC в Proxmox
- ограничение скорости запросов для общих, авторизационных и агентских конечных точек.
- модель агента, работающего только с исходящими трафиками, уменьшает поверхность атаки.
- установка Docker и однострочный установщик для самостоятельного размещения (Ubuntu/Debian)
- служба systemd для управления жизненным циклом бэкэнда
- виртуальный хост nginx для фронтенда + API-proxy; опциональная интеграция с Let's Encrypt.

https://github.com/PatchMon/PatchMon

Web: https://patchmon.net/

Опубликовано в @gitgate

#apt #update #packages #security #moni

Gateryx - решение для межсетевого экрана веб-приложений (WAF), которое обеспечивает полностью интегрированный, высокозащищенный веб-шлюз, объединяя обратный прокси-сервер нового поколения и современный поставщик идентификационных данных в единый, оптимизированный продукт. Созданное на основе быстрой, проверенной в боевых условиях криптографии на эллиптических кривых (P-256), оно обеспечивает аутентификацию Passkey без пароля, токены JWT и OIDC, подписанные с помощью ES256, а также административный доступ, защищенный ECDSA.

Возможности:
- Zero-Trust API Gateway: Обеспечьте идентификацию на периферии сети с помощью проверки JWT ES256 до того, как трафик достигнет веб-сервисов.
- вход для клиентов без пароля: Аутентификация с помощью пароля/WebAuthn для беспрепятственного доступа пользователей, защищенного от фишинга.
- корпоративный SSO и OIDC: Компактный, интегрированный поставщик идентификации OIDC для внутренних инструментов, облачных приложений, порталов разработчиков и панелей мониторинга.
- усиленная административная панель управления. Защита административных конечных точек с помощью запросов, подписанных по RFC 9421 ECDSA - без паролей, без токенов носителя.
- высокопроизводительный уровень безопасности на уровне сети: Сверхнизкая задержка при входящем трафике благодаря парам сокетов «ведущий-ведомый» и облегченным путям проверки.
- мгновенное развертывание: Замените множество инструментов (поставщик идентификации, служба аутентификации, входящий трафик, API-шлюз) одним продуктом, одной конфигурацией, одним развертыванием.
- написано на Rust: легковесное, невероятно быстрое, с минимальным потреблением памяти, предназначено для работы во встроенных системах и виртуальных устройствах с ограниченными ресурсами.

https://github.com/eva-ics/gateryx

Опубликовано в @gitgate

#security #firewall #proxy #waf #jwt #oidc #passkey