rxd_txd
310 subscribers
486 photos
26 videos
22 files
2.72K links
[
{
"channel":"rxd_txd",
"info":"my bookmarks",
"feedback":"@flsixtyfour",
"topics":[
"devops",
"linux",
"sci",
"music",
"go",
"/dev/null"
]
}
]
Download Telegram
Forwarded from k8s (in)security (D1g1)
А вы знали о такой возможности kubectl ?)
Forwarded from DevOps&SRE Library
Five Ansible Techniques I Wish I’d Known Earlier

1) --step
2) Inline logging
3) Run ansible-lint
4) Run ansible-console
5) The Ansible Debugger

https://zwischenzugs.com/2021/08/27/five-ansible-techniques-i-wish-id-known-earlier
Forwarded from k8s (in)security (D1g1)
В официальном блоге Kubernetes вышла статья "A Closer Look at NSA/CISA Kubernetes Hardening Guidance", которая является еще одним анализом, критикой, дополнением к нашумевшему документу Kubernetes Hardening Guidance от NSA/CISA.

В данном блоге прошлись по таким темам, как:
- Kubernetes Pod security
-- "Non-root" containers and "rootless" container engines
-- Immutable container filesystems
-- Building secure container images
-- Pod Security Policies
-- Hardening container engines
- Network Separation and Hardening
-- Network Policies
-- Resource Policies
-- Control Plane Hardening
-- Etcd
-- Kubeconfig Files
-- Secrets
- Log Auditing
-- Kubernetes API auditing
-- Streaming logs and auditing
-- Alert identification
- Upgrading and Application Security practices

Все очень грамотно и четко изложено и заключение очень правильное:"Finally, it is worth reiterating that not all controls in this guidance will make sense for all practitioners. The best way to know which controls matter is to rely on the threat model of your own Kubernetes environment."

Материал из разряда MUST READ!
🔧 А вы знали, что в authorized_keys файле можно указывать не только сам ключ, но и дополнительные команды, или ограничения? Чуть подробнее об этом вот здесь: https://twitter.com/cyb3rops/status/1395009709787258882

А вообще, увидел я это в очередном, казалось бы, очевидном мануале по усилению безопасности SSH: https://blog.zsec.uk/locking-down-ssh-the-right-way/

#ssh #security #напочитать
🔩 What's in a hostname? Статья о том, что такое hostname, каким он может быть, и что мы со всем этим можем делать. Вряд ли мы с вами в повседневной работе встретим все приведённые в статье примеры, но почитать было всё равно интересно.

#dns #напочитать #будничное
Forwarded from Learnk8s news
This post analyzes the Kubernetes node proxy model, and provides 5 demo implementations (within couples of lines of code) of the model, each based on different tech-stacks (userspace/iptables/ipvs/tc-ebpf/sock-ebpf)

Read on https://arthurchiao.art/blog/cracking-k8s-node-proxy
Forwarded from k8s (in)security (D1g1)
Неожиданно для себя обнаружил, что 4 дня назад закончилась поддержка Kubernetes 1.19 (как летит время) и сейчас поддерживаются только 1.20, 1.21 и 1.22.

Чтобы это не было неожиданностью, можно использовать проект endoflife.date, который отслеживает актуальность версий более 60 проектов, включая Kubernetes.

Старайтесь использовать только последние версии из поддерживаемых, чтобы вы всегда могли получить применить последние исправления и улучшения.
Forwarded from Mops DevOps
Kubernetes API Access Security Hardening

Подборка рекомендаций по защите вашего кластера Kuberntetes. Можно использовать использовать статью как чек-лист.

👉 https://bit.ly/3CQOVZk

#kubernetes #security