Митап от DevOps Novosibirsk "K8s-20, история распространения заболевания"
24 декабря, 15:00 МСК

Самоизоляция 20го года  вызвала взрывной рост Web-а, а значит и взрывной рост потребности в инструментах для такого роста, коим и является Kubernetes.

В этот раз мы вместе с Киром Кузнецовым поговорим, что же интересного произошло в мире Kubernetes и рядом за напряженный 2020-ый год.

Кир Кузнецов – ведущий Ops-инженер Злых марсиан. Причиняет клиентам добро и помогает с Operations и DevOps при вторжении на Землю, деплоит продакшен на Kubernetes.

Регистрация
https://devops-nsk.timepad.ru/event/1510616/

AinD: Android in Docker. Ain't an emulator.
https://github.com/aind-containers/aind

На DevOpsConf 2021 (оффлайновый) открылся приём докладов. Так что если у вас есть чем поделиться с миром, то все подробности можно узнать тут

https://cfp.devopsconf.io/

Звонки мошенников из фальшивых колл-центров банков могут в начале показаться очень реалистичными. Главное научиться их вовремя распознавать.

Набросал реализацию сканера исправлений для исходников ядра на основе coccinelle https://github.com/evdenis/cvehound

Что делает: пытается обнаружить неисправленные куски кода для известных CVE.

Как работает: для каждой CVE в ядре есть шаблон coccinelle/grep с описанием ошибки в коде до исправления, либо описанием какой фикс в коде должен присутствовать. Соответственно, на исходниках запускается поиск на наличие "незапатченного" куска кода, либо проверяется отсутствие исправления.

Зачем нужно: если у вас есть лог разработки (git), то не нужно, можно и по нему проверить. Если у вас на руках только архив с исходниками, тогда проверку можно автоматизировать так. Не всегда есть лог разработки, не все версии ядер основываются на стабильных ветвях, иногда исходники выкладываются просто как архив. Пример - исходники ядер для samsung/huawei телефонов (opensource.samsung.com)

Что сейчас умеет: в первый релиз добавил шаблоны только для ~30 CVE (список https://github.com/evdenis/cvehound/tree/master/cvehound/cve). Запускается как ./cvehound --dir ~/linux, где ~/linux путь к исходникам ядра. Если добавить опцию --verbose будет показывать что сейчас проверяет и выводить файлы, в которых нашел отсутствие фикса. Опция --cve CVE-2020-27194 CVE-2020-29371 позволяет проверить наличие конкретных исправлений.

Azure Kubernetes (AKS) Security Best Practices

Part 1: Designing Secure Clusters and Container Images
https://www.stackrox.com/post/2020/01/azure-kubernetes-aks-security-best-practices-part-1-of-4/

Part 2: Networking
https://www.stackrox.com/post/2020/02/azure-kubernetes-aks-security-best-practices-part-2-of-4/

Part 3: Runtime Security
https://www.stackrox.com/post/2020/02/azure-kubernetes-aks-security-best-practices-part-3-of-4/

Part 4: Cluster Maintenance
https://www.stackrox.com/post/2020/03/azure-kubernetes-aks-security-best-practices-part-4-of-4/

"Improving Kubernetes and container security with user namespaces"

Наверно лучшая статья, которую я читал по безопасности Kubernetes в этом году.

Из этой статьи вы узнаете, что такое и зачем нужен user namespace, как он влияет на безопасность контейнеров. И самое интересное, что необходимо изменить со стороны файловой системы, Container Runtime и Kubernetes volumes, чтобы это наконец смогло заработать в самом Kubernetes. Работа кипит и за ней можно следить тут.

Статья просто MUST READ, в процессе чтения раскрывается много не самых простых и очевидных базовых моментов работы контейнеров, который очень важны для понимания.

Дополнительно можно почитать как к таким изменениям подошел Netflix в своей системе оркестрации контейнеров Titus.

Слежу за проектом с первых дней. Рад что он растёт и развивается.

Redox is a Unix-like Operating System written in Rust, aiming to bring the innovations of Rust to a modern microkernel and full set of applications.

Redox OS 0.6.0
https://www.redox-os.org/news/release-0.6.0/
https://gitlab.redox-os.org/redox-os/redox/-/releases/0.6.0

iso
https://gitlab.redox-os.org/redox-os/redox/-/jobs/31100/artifacts/browse/build/img/

w=t=640,draw=_=>{createCanvas(w,w);loadPixels()
for(t++,q=y=w/4;y--;)for(x=q;x--;)(t-y-x^t-y+x)**sqrt(2)%33<(x+y)/19&&set(x,y,0)
updatePixels();clear(g=get(0,0,q,q));image(g,0,0,w,w)}

Тред
https://twitter.com/ntsutae/status/1339670305237737472

Fully automated offensive security framework for reconnaissance and vulnerability scanning
https://github.com/j3ssie/Osmedeus

bpftrace, uprobe and containers
https://kirshatrov.com/2020/10/06/bpf-docker-uprobe/

У вас есть кубернетес?

Флант перевёл пост об плюсах и минусах перехода на #kubernetes

оригинал постав EN