При использовании OIDC аутентификации для k8s (keycloak, например), нужно использовать особый kubeconfig - в нем вместо сертификата пользователя указаны параметры OIDC аутентификации или опции для получения этих параметров.
Для второго случая обычно используют плагин kubelogin
Но гораздо проще ввести учетные данные от Active Directory на специальной страничке, скачать оттуда конфиг и спокойно им пользоваться без установки дополнительных плагинов
Самый популярный инструмент для этого - kuberos. К сожалению, его разработка прекращена шесть лет назад. Но это не мешает ему быть очень удобным инструментом со всеми функциями, необходимыми такому инструменту.
Оригинальный Docker образ основан на уязвимом alpine:3.7 с ужасным CVE-2019-14697
Я пересобрал и выложил образ без уязвимости. Пользуйтесь на здоровье
Образ
Коммит
#oidc #keycloak #k8s
Для второго случая обычно используют плагин kubelogin
Но гораздо проще ввести учетные данные от Active Directory на специальной страничке, скачать оттуда конфиг и спокойно им пользоваться без установки дополнительных плагинов
Самый популярный инструмент для этого - kuberos. К сожалению, его разработка прекращена шесть лет назад. Но это не мешает ему быть очень удобным инструментом со всеми функциями, необходимыми такому инструменту.
Оригинальный Docker образ основан на уязвимом alpine:3.7 с ужасным CVE-2019-14697
Я пересобрал и выложил образ без уязвимости. Пользуйтесь на здоровье
Образ
Коммит
#oidc #keycloak #k8s
GitHub
GitHub - bubnovd/kuberos: An OIDC authentication helper for Kubernetes' kubectl
An OIDC authentication helper for Kubernetes' kubectl - bubnovd/kuberos
Forwarded from Интересное в IT
Запустил свой подкаст «Код доступа».
Подписка доступна в Spotify и Apple Podcasts. Так же есть RSS и можно слушать на сайте.
Буду благодарен за подписки: https://koddostupa.com/
Подписка доступна в Spotify и Apple Podcasts. Так же есть RSS и можно слушать на сайте.
Буду благодарен за подписки: https://koddostupa.com/
Подкаст «Код доступа»
Подкаст «Код доступа» - это подкаст, посвященный истории информационных технологий. У нас вы найдете увлекательные истории о революционных изобретениях, развитии компьютерных технологий, личностях, эволюции интернета и других ключевых моментах в истории IT.…
Вчера во всех ИТ (и не только) каналах брюзжали о том, какой плохой 2ГИС и как ФСБ ворует все наши данные.
Сегодня 2ГИС написали что случилось
https://habr.com/ru/companies/2gis/articles/786006/
Сегодня 2ГИС написали что случилось
https://habr.com/ru/companies/2gis/articles/786006/
Хабр
2ГИС — опасное приложение?
UPD 15 января, 11:00 Мск Вынесли в отдельный пост -post-mortem ответы на вопросы и всё, что известно на сегодняшний день. UPD 13 января, 15:00 Мск Ищем причину ошибочной информации. Сейчас пробуем...
Forwarded from PurpleBear (Vadim Shelest)
Large Model Systems Organization
В пятницу первой рабочей недели предлагаю продолжить тему использования LLM в своей повседневной деятельности.
В прошлом году я уже писал про CodeLlama, которая умеет в код на
Поэтому хочу порекомендовать проект https://chat.lmsys.org/, который позволяет с помощью браузера получить доступ к большому количеству различных проприетарных и открытых моделей (28 моделей, в том числе ChatGPT-4, ChatGPT-3.5 и Claude-v1) абсолютно бесплатно, без регистрации и VPN. Это некоммерческая платформа с веб интерфейсом, API и CLI c открытым исходным кодом от
Мне очень нравится функциональность
А для тех кому интересна безопасность LLМ, исследования, уязвимости, способы эксплуатации и прочее из мира
PS: Желаю всем удачного окончания недели и отличных выходных!
В пятницу первой рабочей недели предлагаю продолжить тему использования LLM в своей повседневной деятельности.
В прошлом году я уже писал про CodeLlama, которая умеет в код на
Python, C++, C#, Java, PHP, Typescript (Javascript) и обучалась на специализированных датасетах, но использовать ее на HuggingFace не очень удобно, а чтобы поднять локально необходимо значительные вычислительные ресурсы.Поэтому хочу порекомендовать проект https://chat.lmsys.org/, который позволяет с помощью браузера получить доступ к большому количеству различных проприетарных и открытых моделей (28 моделей, в том числе ChatGPT-4, ChatGPT-3.5 и Claude-v1) абсолютно бесплатно, без регистрации и VPN. Это некоммерческая платформа с веб интерфейсом, API и CLI c открытым исходным кодом от
Large Model Systems Organization университета UC Berkeley с целью сделать использование LLM доступным всем желающим. Также целью этого исследования является создания benchmark для сравнения эффективности существующих моделей на основе анонимного голосования пользователей по опыту использования на платформе. Мне очень нравится функциональность
Chatbot Arena, где можно выбрать 2 любые модели из списка и получать, сравнивать ответы и работать с ними одновременно, в параметрах можно задать temperature (случайность сгенерированного результата), выборку Top-P (выбор токенов из вариантов с наибольшей вероятностью) и max output tokens. Можно поиграться с разными моделями и параметрами для решения различных прикладных задач, выбрать своих фаворитов и поделиться своим опытом на платформе и в комментариях под этим сообщением😊А для тех кому интересна безопасность LLМ, исследования, уязвимости, способы эксплуатации и прочее из мира
AI/ML Security рекомендую отличный тематический канал моего хорошего товарища - https://t.me/pwnaiPS: Желаю всем удачного окончания недели и отличных выходных!
Telegram
PWN AI
[пывнэйай]
Не нравится? Смени телек.
ML and cybersecurity vibes. For educational purposes only. On a non-profit basis.
[boost link]:
https://t.me/pwnai?boost
AISec [X_feed]:
https://t.me/aisecnews
@wearetyomsmnv [owner]
@ivolake [adm, editor]
...
Не нравится? Смени телек.
ML and cybersecurity vibes. For educational purposes only. On a non-profit basis.
[boost link]:
https://t.me/pwnai?boost
AISec [X_feed]:
https://t.me/aisecnews
@wearetyomsmnv [owner]
@ivolake [adm, editor]
...
Есть несколько способов деплоя из GitLab в kubernetes:
- GitLab Runner в целевом k8s кластере. Деплой через kubectl apply с правами ServiceAccount раннера
- GitOps. Деплой из сторонней системы, типа argoCD, Flux
- Деплой из любого раннера. Джобе нужен kubeconfig и сетевая связность с целевым кластером
- GitLab Agent Server for Kubernetes. Требуется отдельный сервер с доступом к k8s кластеру
Для работы GitLab Agent Server for Kubernetes (KAS) на кластер необходимо установить агента.
Что самое интересное - эта фича позволяет не только взаимодействовать с к8с из пайплайнов (читай - деплоить), но и работать с кластером через привычный kubectl. Права берутся из прав на конкретный проект, авторизация - через GitLab.
Сам я такой способ вживую не видел, но звучит интересно. Если кто-то имеет опыт - поделитесь в комментариях насколько это удобно и какие сложности возникали
- GitLab Runner в целевом k8s кластере. Деплой через kubectl apply с правами ServiceAccount раннера
- GitOps. Деплой из сторонней системы, типа argoCD, Flux
- Деплой из любого раннера. Джобе нужен kubeconfig и сетевая связность с целевым кластером
- GitLab Agent Server for Kubernetes. Требуется отдельный сервер с доступом к k8s кластеру
Для работы GitLab Agent Server for Kubernetes (KAS) на кластер необходимо установить агента.
Что самое интересное - эта фича позволяет не только взаимодействовать с к8с из пайплайнов (читай - деплоить), но и работать с кластером через привычный kubectl. Права берутся из прав на конкретный проект, авторизация - через GitLab.
Сам я такой способ вживую не видел, но звучит интересно. Если кто-то имеет опыт - поделитесь в комментариях насколько это удобно и какие сложности возникали
Gitlab
Install the GitLab agent server for Kubernetes (KAS) | GitLab
GitLab product documentation.
ContainerCVE - онлайн платформа для поиска уязвимостей в публичных образах на hub.docker.com. Использует под капотом trivy
#security #docker
#security #docker
Containercve
ContainerCVE: Scan Docker containers for security vulnerabilities
Quickly find the CVE's for any public Docker Hub image. Powered by the popular open-source tool Trivy.
Forwarded from Поросёнок Пётр
Не так давно я рассказывал как похекал хакеров, и потом это вылилось в целый доклад от n26 банка на конференции.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.
Но тут похек "хакеров" вышел на новый уровень.
Полагаю что "сотрудникам сбербанка" на шконке было предложено сходить по ссылкам и что-то ввести. Из-за чего всё награбленно пропало. А дальше подгорело одно место 🔞
Весьма смело конечно исполнять такое... Надеюсь победителей/робингудов не судят.
В комментах одного сетевого канальчика веселое пишут:
$ host ipv6.yandex.ru
ipv6.yandex.ru has address 213.180.204.242
В лучшем чате для девопсов и сисадминов время послеобеденных ссылок от дядюшки Слэша
На этот раз карта инфраструктурных сетей
https://openinframap.org/
На этот раз карта инфраструктурных сетей
https://openinframap.org/
Telegram
Sysadminka
Make Sysadmins Great Again!
Друзья, представляемся при входе.
О нас: проводим встречи sysadminka.timepad.ru, общаемся на тему IT систем в широком смысле. Правила: https://t.me/sysadminka/141069
Default city - Челябинск.
Offtop chat: @sysadminka_offtop
Друзья, представляемся при входе.
О нас: проводим встречи sysadminka.timepad.ru, общаемся на тему IT систем в широком смысле. Правила: https://t.me/sysadminka/141069
Default city - Челябинск.
Offtop chat: @sysadminka_offtop
Forwarded from k8s (in)security (r0binak)
Исследователи из
1) CVE-2024-21626: Several container breakouts due to internally leaked fds
2) CVE-2024-23653: Interactive containers API does not validate entitlements check
3) CVE-2024-23652: Possible host system access from mount stub cleaner
4) CVE-2024-23651: Possible race condition with accessing subpaths from cache mounts
Все уязвимости оцениваются от
Также для преждевременного обнаружения эксплуатации данных уязвимостей был выпущен инструмент leaky-vessels-dynamic-detector.
Snyk нашли ряд уязвимостей в runc и docker, благодаря которым можно совершить container escape:1) CVE-2024-21626: Several container breakouts due to internally leaked fds
2) CVE-2024-23653: Interactive containers API does not validate entitlements check
3) CVE-2024-23652: Possible host system access from mount stub cleaner
4) CVE-2024-23651: Possible race condition with accessing subpaths from cache mounts
Все уязвимости оцениваются от
high до critical. Необходимые патчи уже выпущены.Также для преждевременного обнаружения эксплуатации данных уязвимостей был выпущен инструмент leaky-vessels-dynamic-detector.
Snyk
Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk
Snyk Security Labs Team has identified four container breakout vulnerabilities in core container infrastructure components including Docker and runc, which also impacts Kubernetes.
Дошли руки (или глаза) почитать Developer Survey от стековерфлоу
По близким этому каналу темам выделены пять направлений: DevOps, SRE, Cloud Infrastructure Engineer, Security Professional, System Administrator
За уровень зарплат в евросоюзе, я возьму Германию. Кажется, что цифры +/- отражают средний уровень европейских зарплат:
- SysAdmin 56k
- DevOps 70k
- Security 99k (не указано по Германии. Взял общее)
- Cloud 85k
- SRE 115k (не указано по Германии. Взял общее)
В Штатах денег примерно в два раза больше
- SysAdmin 87k
- DevOps 160k
- Security 173k
- Cloud 185k
- SRE 180k
Что удивительно, у всех направлений примерно одинаковый средний опыт работы опрошенных — 10-11 лет
14% всех опрошенных развивают свой бизнес параллельно работе
Про налоги и расходы сами ищите инфу, а я пошел собирать чемоданы
По близким этому каналу темам выделены пять направлений: DevOps, SRE, Cloud Infrastructure Engineer, Security Professional, System Administrator
За уровень зарплат в евросоюзе, я возьму Германию. Кажется, что цифры +/- отражают средний уровень европейских зарплат:
- SysAdmin 56k
- DevOps 70k
- Security 99k (не указано по Германии. Взял общее)
- Cloud 85k
- SRE 115k (не указано по Германии. Взял общее)
В Штатах денег примерно в два раза больше
- SysAdmin 87k
- DevOps 160k
- Security 173k
- Cloud 185k
- SRE 180k
Что удивительно, у всех направлений примерно одинаковый средний опыт работы опрошенных — 10-11 лет
14% всех опрошенных развивают свой бизнес параллельно работе
Про налоги и расходы сами ищите инфу, а я пошел собирать чемоданы
Stack Overflow
Stack Overflow Developer Survey 2023
In May 2023 over 90,000 developers responded to our annual survey about how they learn and level up, which tools they're using, and which ones they want.
Моделирование угроз — это анализ представлений системы, чтобы выявить проблемы, связанные с характеристиками безопасности и конфиденциальности.
На самом высоком уровне, когда мы моделируем угрозы, мы задаем четыре ключевых вопроса:
Над чем мы работаем?
Что может пойти не так?
Что мы собираемся с этим делать?
Сделали ли мы достаточно хорошую работу?
https://www.threatmodelingmanifesto.org/
На самом высоком уровне, когда мы моделируем угрозы, мы задаем четыре ключевых вопроса:
Над чем мы работаем?
Что может пойти не так?
Что мы собираемся с этим делать?
Сделали ли мы достаточно хорошую работу?
https://www.threatmodelingmanifesto.org/
www.threatmodelingmanifesto.org
Threat Modeling Manifesto
Documents the values, principles and key characteristics as an industry guidance for conducting threat modeling.
Forwarded from Записки админа
📺 FOSDEM'24 проходит в эти дни в Бельгии...
- Некоторые записи первого дня доступны по ссылкам на странице (выбираем трек, затем тему в нём) - https://fosdem.org/2024/schedule/tracks/
- Трансляция доступна по ссылке - https://fosdem.org/2024/schedule/streaming/
#видео #fosdem
- Некоторые записи первого дня доступны по ссылкам на странице (выбираем трек, затем тему в нём) - https://fosdem.org/2024/schedule/tracks/
- Трансляция доступна по ссылке - https://fosdem.org/2024/schedule/streaming/
#видео #fosdem
State of eBPF 2024
- New eBPF-based central processing unit schedulers that resulted in 5% CPU bandwidth gains on some of Meta’s largest applications
- Many of the US hyperscalers— Meta, Google, Netflix–use eBPF in production. Every Android phone uses eBPF to monitor traffic. Every single packet that goes in and out of a Meta datacenter is touched by eBPF
- If a vulnerability occurs in the kernel, for instance, fast fixes can occur via eBPF without altering the kernel code, allowing for security updates on the fly
- New eBPF-based central processing unit schedulers that resulted in 5% CPU bandwidth gains on some of Meta’s largest applications
- Many of the US hyperscalers— Meta, Google, Netflix–use eBPF in production. Every Android phone uses eBPF to monitor traffic. Every single packet that goes in and out of a Meta datacenter is touched by eBPF
- If a vulnerability occurs in the kernel, for instance, fast fixes can occur via eBPF without altering the kernel code, allowing for security updates on the fly
Intro to Large Language Models
Языковые модели за час. Самое важное об устройстве LLM в первых 20 минутах. Но я рекомендую посмотреть полностью. В видео всё, о том как устроены популярные языковые модели: GPT, LLAMA, Bard
Part 1: LLMs
- LLM Inference
- LLM Training
- LLM dreams
- How do they work?
- Finetuning into an Assistant
- Summary so far
- Appendix: Comparisons, Labeling docs, RLHF, Synthetic data, Leaderboard
Part 2: Future of LLMs
- LLM Scaling Laws
- Tool Use (Browser, Calculator, Interpreter, DALL-E)
- Multimodality (Vision, Audio)
- Thinking, System 1/2
- Self-improvement, LLM AlphaGo
- LLM Customization, GPTs store
- LLM OS
Part 3: LLM Security
- LLM Security Intro
- Jailbreaks
- Prompt Injection
- Data poisoning
- LLM Security conclusions
Язык английский. Говорят, яндекс браузер умеет переводить видео
Языковые модели за час. Самое важное об устройстве LLM в первых 20 минутах. Но я рекомендую посмотреть полностью. В видео всё, о том как устроены популярные языковые модели: GPT, LLAMA, Bard
Part 1: LLMs
- LLM Inference
- LLM Training
- LLM dreams
- How do they work?
- Finetuning into an Assistant
- Summary so far
- Appendix: Comparisons, Labeling docs, RLHF, Synthetic data, Leaderboard
Part 2: Future of LLMs
- LLM Scaling Laws
- Tool Use (Browser, Calculator, Interpreter, DALL-E)
- Multimodality (Vision, Audio)
- Thinking, System 1/2
- Self-improvement, LLM AlphaGo
- LLM Customization, GPTs store
- LLM OS
Part 3: LLM Security
- LLM Security Intro
- Jailbreaks
- Prompt Injection
- Data poisoning
- LLM Security conclusions
Язык английский. Говорят, яндекс браузер умеет переводить видео
YouTube
[1hr Talk] Intro to Large Language Models
This is a 1 hour general-audience introduction to Large Language Models: the core technical component behind systems like ChatGPT, Claude, and Bard. What they are, where they are headed, comparisons and analogies to present-day operating systems, and some…