Как собрать контейнер и не вооружить хакера
Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip
В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься
#security #docker #lolbins
Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip
В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься
#security #docker #lolbins
Forwarded from Флант (анонсы)
Немного интеллектуальной ностальгии😎
Осенью 2019 года мы запустили цикл статей «Практические истории из наших SRE-будней». Мы включали в эти материалы разные небольшие, но любопытные истории — когда-то что-то где-то неожиданно перестало работать, а решение проблемы оказалось нетривиальным.
Эти статьи отлично развивают насмотренность, позволяют проследить за логикой решения нестандартных инженерных задач, а также показывают, насколько неожиданными и нетипичными могут быть источники беспокойств. Итак, поехали🏎
6 практических историй из наших SRE-будней
Golang и HTTP/2. Старая Symfony и Sentry. RabbitMQ и стороннее прокси. Джин в PostgreSQL. Кэширование s3 в nginx. DDoS и Google User Content.
Практические истории из наших SRE-будней. Часть 2
Kafka и переменные от Docker’a в K8s. Как скромные 100 байт стали причиной больших проблем. Как был перегружен K8s-кластер… а на самом деле — перегрет. Ода pg_repack для PostgreSQL.
Практические истории из наших SRE-будней. Часть 3
Затянувшийся перенос сервера в виртуальную машину. Безопасность для Kubernetes-оператора ClickHouse. Ускоренная перезаливка реплик PostgreSQL. CockroachDB не тормозит?
Практические истории из наших SRE-будней. Часть 4
Жил-был нажимательный дом и был у него друг — смотритель зоопарка. Крадущееся обновление на MySQL 8, затаившийся ru_RU.cp1251. Битва Cloudflare с Kubernetes за домен.
Практические истории из наших SRE-будней. Часть 5
Как мы сбежали от прожорливого BlueStore. Бесконечно падающие пробы. redis-operator и потерявшийся приоритет.
Практические истории из наших SRE-будней. Часть 6
Легко ли сегодня установить пакет в CentOS 6? Внезапное переключение DNS и Ingress. Шарада с шардами. Что может быть проще, чем восстановить таблицу из бэкапа? Pod’ов нет, но вы держитесь.
Практические истории из SRE-будней. Часть 7
Как несвязанные коммиты в пакетах Linux привели к неожиданным проблемам.
Расскажете в комментариях к посту, какие интересные инженерные задачи приходилось решать вам?
Осенью 2019 года мы запустили цикл статей «Практические истории из наших SRE-будней». Мы включали в эти материалы разные небольшие, но любопытные истории — когда-то что-то где-то неожиданно перестало работать, а решение проблемы оказалось нетривиальным.
Эти статьи отлично развивают насмотренность, позволяют проследить за логикой решения нестандартных инженерных задач, а также показывают, насколько неожиданными и нетипичными могут быть источники беспокойств. Итак, поехали🏎
6 практических историй из наших SRE-будней
Golang и HTTP/2. Старая Symfony и Sentry. RabbitMQ и стороннее прокси. Джин в PostgreSQL. Кэширование s3 в nginx. DDoS и Google User Content.
Практические истории из наших SRE-будней. Часть 2
Kafka и переменные от Docker’a в K8s. Как скромные 100 байт стали причиной больших проблем. Как был перегружен K8s-кластер… а на самом деле — перегрет. Ода pg_repack для PostgreSQL.
Практические истории из наших SRE-будней. Часть 3
Затянувшийся перенос сервера в виртуальную машину. Безопасность для Kubernetes-оператора ClickHouse. Ускоренная перезаливка реплик PostgreSQL. CockroachDB не тормозит?
Практические истории из наших SRE-будней. Часть 4
Жил-был нажимательный дом и был у него друг — смотритель зоопарка. Крадущееся обновление на MySQL 8, затаившийся ru_RU.cp1251. Битва Cloudflare с Kubernetes за домен.
Практические истории из наших SRE-будней. Часть 5
Как мы сбежали от прожорливого BlueStore. Бесконечно падающие пробы. redis-operator и потерявшийся приоритет.
Практические истории из наших SRE-будней. Часть 6
Легко ли сегодня установить пакет в CentOS 6? Внезапное переключение DNS и Ingress. Шарада с шардами. Что может быть проще, чем восстановить таблицу из бэкапа? Pod’ов нет, но вы держитесь.
Практические истории из SRE-будней. Часть 7
Как несвязанные коммиты в пакетах Linux привели к неожиданным проблемам.
Расскажете в комментариях к посту, какие интересные инженерные задачи приходилось решать вам?
Forwarded from k8s (in)security (r0binak)
Сегодня хотим поделиться с вами прикольным расширением
Для того чтобы установить расширение к себе в
Argo CD
для Trivy Operator
. Расширение позволяет прямо в интерфейсе Argo CD
отображать vulnerability reports
, созданные Trivy Operator
в результате сканирования на уязвимости docker
образов.Для того чтобы установить расширение к себе в
Argo CD
необходимо немного пропатчить Deployment argo-cd sever
. А именно – добавить init-container
с необходимым React Component
.Кроссворд про #security и много других игр (неинтересных) по кнопке Play Other Games
https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html
https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html
С Праздником, товарищи!
Я верю, что наука и любознательность человечества победят алчность и тягу к наживе. И мы будем жить в прекрасном мире и каждый день познавать тайны Вселенной
Поехали!
Я верю, что наука и любознательность человечества победят алчность и тягу к наживе. И мы будем жить в прекрасном мире и каждый день познавать тайны Вселенной
Поехали!
Forwarded from запуск завтра
Figma красиво рассказывает, как они масштабируют свою базу данных (горизонтальное шардирование Postgres).
Всего 4 года назад они хвастались, что все данные помещаются в одной БД на самой жирной тачке в AWS и выросли с тех пор в 100 раз.
Во-первых, прикольно читать, как устроен сервис, которым пользуешься почти каждый день. Во-вторых, в «internet-scale компаниях», мне кажется, засилие MySQL, так что приятно, когда делятся серьезными инсталляциями Postgres, который предпочитаем мы и большинство наших знакомых.
Вспомню ещё две другие, довольно старые истории про масштабирование баз данных:
1. Вот техническая команда инстаграма в 2012 году дает прикольные советы и рассказывает про шардирование постгреса. Заметьте, совсем другой вайб — не огромный лонгрид, а короткие заметки «с чем столкнулись и что сделали».
2. Культовая статья Uber 2016го года, которая называется «Почему мы переехали с MySQL на Postgres». Прикол в том, что название не отражает сути: они отказались от реляционной БД и сделали свою собственную СУБД на основе MySQL — срачи про это не утихают до сих пор, вот последнее обсуждение 2021 года и набор ссылок на предыдущие.
Вот неплохой список подходов к масштабированию БД, пускай они и не нужны в 99% проектов.
Всего 4 года назад они хвастались, что все данные помещаются в одной БД на самой жирной тачке в AWS и выросли с тех пор в 100 раз.
Во-первых, прикольно читать, как устроен сервис, которым пользуешься почти каждый день. Во-вторых, в «internet-scale компаниях», мне кажется, засилие MySQL, так что приятно, когда делятся серьезными инсталляциями Postgres, который предпочитаем мы и большинство наших знакомых.
Вспомню ещё две другие, довольно старые истории про масштабирование баз данных:
1. Вот техническая команда инстаграма в 2012 году дает прикольные советы и рассказывает про шардирование постгреса. Заметьте, совсем другой вайб — не огромный лонгрид, а короткие заметки «с чем столкнулись и что сделали».
2. Культовая статья Uber 2016го года, которая называется «Почему мы переехали с MySQL на Postgres». Прикол в том, что название не отражает сути: они отказались от реляционной БД и сделали свою собственную СУБД на основе MySQL — срачи про это не утихают до сих пор, вот последнее обсуждение 2021 года и набор ссылок на предыдущие.
Вот неплохой список подходов к масштабированию БД, пускай они и не нужны в 99% проектов.
RBAC в kubernetes очень гибкий, но есть некоторые неудобства. Например:
- в одном RoleBinding нельзя назначить пользователю несколько ролей. Да, так и должен работать RoleBinding, но в системах со сложной матрицей доступа придется создавать сотни манифестов
- невозможно забиндить роль к пачке неймспейсов по маске имени или другим параметрам
- невозможно (или сложно) отследить появление нового неймпспейса и сразу выписать ему нужные доступы
С этим сильно помогает rbac-manager. Он позволяет описать все (Cluster)RoleBinding в одном манифесте, что сильно уменьшает количество строк кода. Позволяет биндить роли к неймспейсам на основании лейблов. Мы в компании пользуемся им уже несколько месяцев и очень довольны.
Я даже сделал чарт для деплоя ролей, кластерролей и манифестов для rbac-manager из единого места. Пользуйтесь на здоровье!
#k8s #rbac
- в одном RoleBinding нельзя назначить пользователю несколько ролей. Да, так и должен работать RoleBinding, но в системах со сложной матрицей доступа придется создавать сотни манифестов
- невозможно забиндить роль к пачке неймспейсов по маске имени или другим параметрам
- невозможно (или сложно) отследить появление нового неймпспейса и сразу выписать ему нужные доступы
С этим сильно помогает rbac-manager. Он позволяет описать все (Cluster)RoleBinding в одном манифесте, что сильно уменьшает количество строк кода. Позволяет биндить роли к неймспейсам на основании лейблов. Мы в компании пользуемся им уже несколько месяцев и очень довольны.
Я даже сделал чарт для деплоя ролей, кластерролей и манифестов для rbac-manager из единого места. Пользуйтесь на здоровье!
#k8s #rbac
GitHub
GitHub - bubnovd/rbac-definition-helm: Deploy RBACDefinition for rbac-manager, Roles and ClusterRoles by Helm
Deploy RBACDefinition for rbac-manager, Roles and ClusterRoles by Helm - bubnovd/rbac-definition-helm
Forwarded from linkmeup
Ребятки решили сделать разным CNI больно и запустили тест на 40 Гбит/с ибо интересно же, кто что может выдать в 2024.
Самое интересное на мой взгляд:
- Без eBPF забудь про многопоточку
- Универсального комбайна, который хорошо молотит любой вид нагрузки, так и не изобрели
- Свои варианты применения есть и у куброутера, и у силиума, и калико, и так далее. Просто не надо брать бездумно по названию
https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-40gbit-s-network-2024-156f085a5e4e
Самое интересное на мой взгляд:
- Без eBPF забудь про многопоточку
- Универсального комбайна, который хорошо молотит любой вид нагрузки, так и не изобрели
- Свои варианты применения есть и у куброутера, и у силиума, и калико, и так далее. Просто не надо брать бездумно по названию
https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-40gbit-s-network-2024-156f085a5e4e
Medium
Benchmark results of Kubernetes network plugins (CNI) over 40Gbit/s network [2024]
This article is a new run of my previous benchmark (2020, 2019 and 2018), now running Kubernetes 1.26 and Ubuntu 22.04 with CNI version…
https://voyager.jpl.nasa.gov/mission/status/
У NASA есть страница с онлайн статусом программ Вояджеров. Они больше 46 лет бороздят просторы Млечного Пути
У NASA есть страница с онлайн статусом программ Вояджеров. Они больше 46 лет бороздят просторы Млечного Пути
science.nasa.gov
Where Are They Now? - NASA Science
Both Voyager 1 and Voyager 2 have reached "interstellar space" and each continue their unique journey deeper into the cosmos.
На YouTube есть канал с разной девопсячей всячиной. И у них есть целый плейлист по сравнению разных аналогов. Идея классная - берем задачу, инструменты для её решения, сравниваем их, общаемся с разработчиками.
Реализация ужасная. Лично мне слушать это невозможно - раздражающий смех без повода - признак сами знаете чего. К счастью, у них есть репо с описанием продуктов
Темы выпусков:
- Build Container Image - Feat. Carvel kbld, Buildpacks, and Lima
- Store Image in a Registry - Feat. Harbor, Docker Hub, and Dragonfly
- Define And Deploy Apps - Feat. Helm, Kustomize, Carvel ytt, and cdk8s
- Use HTTPS - Feat. cert-manager
- Setup PostgreSQL DB In The Dev Environment - Feat. Helm And Crossplane
- Manage DB Schema - Feat. SchemaHero And Liquibase
- Develop Apps - Feat. Telepresence, DevSpace, Nocalhost, And Devfile
- Provision a Production Cluster - Feat. Crossplane And Cluster API
- GitOps - Feat. Flux, Argo CD, and kapp-controller
- Ingress - Feat. Contour, NGINX Ingress, and Emissary-ingress
- Admission Controllers - Feat. Kyverno, OPA, Kubewarden, Cloud Custodian, and VAP
- Runtime Policies - Feat. KubeArmor and Falco
- Secrets Management - Feat. ESO, SSCSID, Teller, and SOPS
- mTLS and Network Policies - Feat. Istio, Linkerd, Cilium, Kuma, and NSM
- Kubernetes Scanning - Feat. Kubescape and Snyk
- Signing Artifacts - Feat. Notary, Sigstore, and Open Policy Containers
- Workload Identity - Feat. SPIFFE, SPIRE, and Athenz
- Authenticating Users - Feat. Dex and Keycloak
- Authorizing Access - Feat. Hexa, Paralus, and OpenFGA
- Misfits - Feat. ContainerSSH and Confidential Containers
Реализация ужасная. Лично мне слушать это невозможно - раздражающий смех без повода - признак сами знаете чего. К счастью, у них есть репо с описанием продуктов
Темы выпусков:
- Build Container Image - Feat. Carvel kbld, Buildpacks, and Lima
- Store Image in a Registry - Feat. Harbor, Docker Hub, and Dragonfly
- Define And Deploy Apps - Feat. Helm, Kustomize, Carvel ytt, and cdk8s
- Use HTTPS - Feat. cert-manager
- Setup PostgreSQL DB In The Dev Environment - Feat. Helm And Crossplane
- Manage DB Schema - Feat. SchemaHero And Liquibase
- Develop Apps - Feat. Telepresence, DevSpace, Nocalhost, And Devfile
- Provision a Production Cluster - Feat. Crossplane And Cluster API
- GitOps - Feat. Flux, Argo CD, and kapp-controller
- Ingress - Feat. Contour, NGINX Ingress, and Emissary-ingress
- Admission Controllers - Feat. Kyverno, OPA, Kubewarden, Cloud Custodian, and VAP
- Runtime Policies - Feat. KubeArmor and Falco
- Secrets Management - Feat. ESO, SSCSID, Teller, and SOPS
- mTLS and Network Policies - Feat. Istio, Linkerd, Cilium, Kuma, and NSM
- Kubernetes Scanning - Feat. Kubescape and Snyk
- Signing Artifacts - Feat. Notary, Sigstore, and Open Policy Containers
- Workload Identity - Feat. SPIFFE, SPIRE, and Athenz
- Authenticating Users - Feat. Dex and Keycloak
- Authorizing Access - Feat. Hexa, Paralus, and OpenFGA
- Misfits - Feat. ContainerSSH and Confidential Containers
Срочно в номер - Dropbox хакнули. Меняйте пароли
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm
https://www.sec.gov/Archives/edgar/data/1467623/000146762324000024/dbx-20240429.htm