AWS: Karpenter та SSH для Kubernetes WorkerNodes

Маємо AWS EKS кластер з WorkerNodes/EC2, які створюються за допомогою Karpenter. Процес створення інфраструктури, кластеру та запуск Karpenter описаний у попередніх постах: - Terraform: створення EKS, частина 1 – VPC, Subnets та Endpoints - Terraform: створення EKS, частина 2 – EKS кластер, WorkerNodes та IAM - Terraform: створення EKS, частина 3 – установка Karpenter Чого…

https://rtfm.co.ua/aws-karpenter-ta-ssh-dlya-kubernetes-workernodes/

#kubernetes #aws #security

AWS: RDS з IAM database authentication, EKS Pod Identities та Terraform

Готуємось мігрувати базу даних нашого Backend API з DynamoDB до AWS RDS з PostgreSQL, і нарешті вирішив спробувати що ж таке AWS RDS IAM database authentication, який з’явився здається ще десь у 2021. IAM database authentication, як, в принципі, можна здогадатись з назви, дозволяє нам виконувати аутентифікацію в RDS за допомогою AWS IAM, а не…

https://rtfm.co.ua/aws-rds-z-iam-database-authentication-eks-pod-identities-ta-terraform/

#333399 #AWS #AWS_RDS #Kubernetes #Security #Terraform

AWS: Kubernetes та Access Management API – нова схема авторизації в EKS

Ще одна крута фіча, яку Амазон показав ще на минулому re:Invent в листопаді 2023 – це зміни в тому, як AWS Elastic Kubernetes Service виконує аутентифікацію та авторизацію юзерів. При чому це стосується не тільки саме користувачів кластеру, а і WorkerNodes. Тобто, не дуже-то нова схема – але в мене ось тільки зараз дійшли руки…

https://rtfm.co.ua/aws-kubernetes-ta-access-management-api-nova-sxema-avtorizaciї-v-eks/

#333399 #AWS #AWS_EKS #Kubernetes #Security

AWS: IAM Access Analyzer policy generation – створення IAM Policy

Доволі частий кейс, коли на новому проекті, який тільки створює свою інфраструктуру і CI/CD, робиться це як MVP/PoC, і на початку на тюнінг AWS IAM Roles та IAM Policies час не витрачається, а просто підключається AdministratorAccess. Власне, саме так відбувалось і в моєму проекті, але ми ростемо, і прийшов час навести лад в IAM. Contents…

https://rtfm.co.ua/aws-iam-access-analyzer-policy-generation-stvorennya-iam-policy/

#AWS #AWS_IAM #Security

Anyone can Access Deleted and Private Repository Data on GitHub

Sounds scary, if you didn't deep dive into how git works and how GitHub hosts it.

TL;DR: If some repo can git fetch upstream - all these fetchable commits will be always accessible from this fork/main repo.
Only after the visibility of the repo changes - new commits will be not discoverable.

For more details and examples, check this article, which was brought to us from CatOps Chat.

#security #git #github

AWS: Kubernetes та External Secrets Operator для AWS Secrets Manager

Маємо на проекті новий EKS кластер 1.30, на якому хочемо повністю відмовитись від старого IRSA з OIDC і почати користуватись EKS Pod Identities – див. AWS: EKS Pod Identities – заміна IRSA? Спрощуємо менеджмент IAM доступів. І все наче працює чудово, але коли почав деплоїти наш Backend API – поди не стартують, і висять в…

https://rtfm.co.ua/aws-kubernetes-ta-external-secrets-operator-dlya-aws-secrets-manager/

#333399 #AWS #Kubernetes #Security

Terraform: використання Ephemeral resources та Write-only attributes

В Terraform ephemeral resources та write-only arguments з’явились давно, ще у версії 1.10, але не було нагоди про них написати детальніше. Основна ідея їх – не залишати “слідів” в state-файлі, що особливо корисно для паролів або токенів, бо дані існують тільки під час виконання apply самого Terraform в його пам’яті. Втім, для їх використання є…

https://rtfm.co.ua/terraform-vikoristannya-ephemeral-resources-ta-write-only-attributes/

#Security #Terraform

FreeBSD: знайомство з Packet Filter (PF) firewall

Продовжую потрохи налаштовувати домашній NAS на FreeBSD, і перше, з чим хочеться розібратись – це FreeBSD firewalls. Колись я працював з IPFW – FreeBSD: начальная настройка IPFW, 2012 рік. Зараз в системі є три “штатних” фаєрволи – Packet Filter (PF), IP Firewall (IPFW) та IP Filter (IPF): - pf: зараз фактично дефолтна опція, був портований…

https://rtfm.co.ua/freebsd-znajomstvo-z-packet-filter-pf-firewall/

#firewall #FreeBSD #Networks #Security

FreeBSD: WireGuard VPN, Linux peer та routing між мережами

Продовжую налаштування свого домашнього сервера на FreeBSD 14.3, де планується мати NAS. В попередньому пості FreeBSD: знайомство з Packet Filter (PF) firewall познайомились з фаєрволами, наступний крок – це налаштувати VPN для доступу. Основна ідея – поєднати (нарешті!) мій “офіс” і квартиру, а пізніше, можливо, ще і підключити сервер, на якому зараз працює rtfm.co.ua –…

https://rtfm.co.ua/freebsd-wireguard-vpn-linux-peer-ta-routing-mizh-merezhami/

#Arch_Linux #Networks #OpenVPN #Security #VPN #WireGuard

SSH: sshd hardening на FreeBSD і Linux, та інтеграція з 1Password

Прийшов час трохи привести в порядок SSH на самому FreeBSD та на клієнтах – ноутбуках з Arch Linux, бо на домашніх машинках досі використовую парольну аутентифікацію. Власне, описані нижче налаштування не специфічні ні для FreeBSD, ні для Linux, бо SSH server один і той самий на всіх системах (OpenSSH_9.9p2 на FreeBSD 14.3 і OpenSSH_10.2p1 на…

https://rtfm.co.ua/ssh-sshd-hardening-na-freebsd-i-linux-ta-integraciya-z-1password/

#1Password #Arch_Linux #FreeBSD #Security #SSH

TCP/IP: SYN flood атака на сервер RTFM, та “Hacker News hug of death”

Прилітає сьогодні зранку алерт від моніторингу, що блог впав: Ну, думаю – знов якийсь DDoS, не перший раз. Contents - Investigating the issue ◦ SYN flood та підключення в SYN_RECV - Mitigating the issue ◦ Linux Kernel TCP tuning ◦ Iptables та DROP by Source Address ◦ Iptables та DROP by Destination Address ◦ Зберігання…

https://rtfm.co.ua/tcp-ip-syn-flood-ataka-na-server-rtfm-ta-hacker-news-hug-of-death/

#Linux #Networks #RTFM #Security #TCP_IP

AWS: ALB та Cloudflare – налаштування mTLS та AWS Security Rules

https://rtfm.co.ua/aws-alb-ta-cloudflare-nalashtuvannya-mtls-ta-aws-security-rules/

#AWS #Cloudflare #Networking #Security #SSL_TLS

Okta: налаштування Grafana SSO з OIDC та Role mapping

https://rtfm.co.ua/okta-nalashtuvannya-grafana-sso-z-oidc-ta-role-mapping/

#Grafana #OIDC #Okta #Security #SSO

AWS: налаштування Okta SSO з AWS IAM Identity Center

https://rtfm.co.ua/aws-nalashtuvannya-okta-sso-z-aws-iam-identity-center/

#AWS #AWS_IAM #Okta #Security #SSO

Okta: інтеграція з Google Workspaces, частина 1 – Provisioning

https://rtfm.co.ua/okta-integracziya-z-google-workspaces-chastyna-1-provisioning/

#Google #Okta #Security