Forwarded from Пятничный деплой
Статья про лимиты в Linux - пригодится для подготовки к собесу, ну и вообще полезно https://ops.tips/blog/proc-pid-limits-under-the-hood/ #limits #linux #ops
ops.tips
Process resource limits under the hood
Go through the internals of implementing ulimit, how prlimit works, as well as inspecting how the kernel limits the number of open files
Forwarded from GitHub'ненько
Ventoy is an open source tool to create bootable USB drive for ISO files.
With ventoy, you don't need to format the disk over and over, you just need to copy the iso file to the USB drive and boot it.
#admin #ops
https://github.com/ventoy/Ventoy
With ventoy, you don't need to format the disk over and over, you just need to copy the iso file to the USB drive and boot it.
#admin #ops
https://github.com/ventoy/Ventoy
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
No dockershim in k8s, what about security?
Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.
Через некоторое время появляется страница в официальной документации k8s:
Don't Panic: Kubernetes and Docker
А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:
- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims
С точки зрения security советую вам посмотреть следующее видео:
Security Considerations for Container Runtimes
Если коротко, то первое, в чем выиграет безопасность, так это отсутствие
#k8s #ops #docer
Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.
Через некоторое время появляется страница в официальной документации k8s:
Don't Panic: Kubernetes and Docker
А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:
- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims
С точки зрения security советую вам посмотреть следующее видео:
Security Considerations for Container Runtimes
Если коротко, то первое, в чем выиграет безопасность, так это отсутствие
CAP_NET_RAW в качестве дефолтного capability, при этом сохраняется возможность делать ping внутри котейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.#k8s #ops #docer
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.20.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Using Jenkins, Vault, Terraform, Ansible, and Consul to Deliver an End-to-End CI/CD Pipeline
Серия статей и видео, посвященных выстраиванию инфраструктуры эффективного деплоймента, покрывая концепции IaC, CI/CD, управления секретами, динамических секретов, проблемы концепции secret zero, service mesh и так далее.
Тулстек:
- HashiCorp Packer
- HashiCorp Terraform
- HashiCorp Vault
- HashiCorp Consul
- Jenkins
- Ansible
- Microsoft Azure
Да, здесь нет статики, динамики и различных проверок образов, но практика показывает, что те, кто идут в DevSecOps, далеко не всегда люди из DevOps. Чаще всего это специалисты со стороны ИБ, которым еще предстоит разобраться во всем многообразии инструментов.
#ops #dev #vault
Серия статей и видео, посвященных выстраиванию инфраструктуры эффективного деплоймента, покрывая концепции IaC, CI/CD, управления секретами, динамических секретов, проблемы концепции secret zero, service mesh и так далее.
Тулстек:
- HashiCorp Packer
- HashiCorp Terraform
- HashiCorp Vault
- HashiCorp Consul
- Jenkins
- Ansible
- Microsoft Azure
Да, здесь нет статики, динамики и различных проверок образов, но практика показывает, что те, кто идут в DevSecOps, далеко не всегда люди из DevOps. Чаще всего это специалисты со стороны ИБ, которым еще предстоит разобраться во всем многообразии инструментов.
#ops #dev #vault
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
HashiCorp Boundary
В 2020 году HashiCorp выпустили решение HashiCorp Boundary в open-source. Я долго тянул с тем, чтобы разобраться, что это, пока не наткнулся на статью Gating Access to Kubernetes API & Workloads with HashiCorp Boundary, в которой объясняется, каким образом HashiCorp Boundary обеспечивает безопасный доступ к API k8s и контейнерам. Выглядит довольно интересно. Даже прилагается пример в виде terraform.
HashiCorp Boundary представляет из себя CLI + Gateway, позволяющий администраторам получать доступ к ресурсам компании без прямого доступа к частной сети. Boundary интегрируется с существующими средствами аутентификаци, предлагает свою модель RBAC и подтягивает креды из HashiCorp Vault. Все это сопровождается возможностью аудита.
Первый вопрос, который возникает: Чем это отличается от современных Privileged Access Management (PAM) систем, кроме того, что это open-source?
- Boundary Connect (CLI) уже содержит в себе известные клиенты вроде RDP, SSH, kubectl, postgres, http. Таким образом, нет необходимости подключаться к некому бастиону по RDP/SSH, а оттуда перепрыгивать на целевую систему.
- Boundary не привязывается к IP-адресам целевых ресурсов. Это позволяет работать с объектами, которые динамически меняют свои адреса. Например, можно через
- Boundary имеет возможность развертываться через Terraform. Таким образом, можно реализовать привычный доступ в формате PAM не конфликтуя с DevOps-командами.
Вот, кстати, хорошее видео, где на пальцах объясняют как работает решение.
#ops #k8s
В 2020 году HashiCorp выпустили решение HashiCorp Boundary в open-source. Я долго тянул с тем, чтобы разобраться, что это, пока не наткнулся на статью Gating Access to Kubernetes API & Workloads with HashiCorp Boundary, в которой объясняется, каким образом HashiCorp Boundary обеспечивает безопасный доступ к API k8s и контейнерам. Выглядит довольно интересно. Даже прилагается пример в виде terraform.
HashiCorp Boundary представляет из себя CLI + Gateway, позволяющий администраторам получать доступ к ресурсам компании без прямого доступа к частной сети. Boundary интегрируется с существующими средствами аутентификаци, предлагает свою модель RBAC и подтягивает креды из HashiCorp Vault. Все это сопровождается возможностью аудита.
Первый вопрос, который возникает: Чем это отличается от современных Privileged Access Management (PAM) систем, кроме того, что это open-source?
- Boundary Connect (CLI) уже содержит в себе известные клиенты вроде RDP, SSH, kubectl, postgres, http. Таким образом, нет необходимости подключаться к некому бастиону по RDP/SSH, а оттуда перепрыгивать на целевую систему.
- Boundary не привязывается к IP-адресам целевых ресурсов. Это позволяет работать с объектами, которые динамически меняют свои адреса. Например, можно через
boundary connect kube пройти аутентификацию, авторизацию и подключиться к желаемому контейнеру с временными кредами.- Boundary имеет возможность развертываться через Terraform. Таким образом, можно реализовать привычный доступ в формате PAM не конфликтуя с DevOps-командами.
Вот, кстати, хорошее видео, где на пальцах объясняют как работает решение.
#ops #k8s
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
kubescape
Кажется уже все слышали, что NSA (National Security Agency) выпустили Kubernetes Hardening Guidance, но не все знают, что вслед за этим вышел open-source инструмент Kubescape от компании Armo для проверки кластера на соответствие этому гайду. Подобный набор проверок можно встретить в том же kubeaudit, но kubescape отличает тот факт, что правила написаны на языке OPA (Rego). Тут стоит отметить, что речь идет именно о кластере, а не о манифестах, которые хранятся в git, где может подойти любой IaC сканер вроде kics.
UPD. Исходя их сорсов, тула ходит во внешние серверы Armo за правилами. Спасибо @ttffdd
#k8s #ops
Кажется уже все слышали, что NSA (National Security Agency) выпустили Kubernetes Hardening Guidance, но не все знают, что вслед за этим вышел open-source инструмент Kubescape от компании Armo для проверки кластера на соответствие этому гайду. Подобный набор проверок можно встретить в том же kubeaudit, но kubescape отличает тот факт, что правила написаны на языке OPA (Rego). Тут стоит отметить, что речь идет именно о кластере, а не о манифестах, которые хранятся в git, где может подойти любой IaC сканер вроде kics.
UPD. Исходя их сорсов, тула ходит во внешние серверы Armo за правилами. Спасибо @ttffdd
#k8s #ops