Надеваем шапочки из фольги — на GitHub опубликовали слитые секретные данные китайской шпионской компании, сотрудничающей с правительством.

Там буквально все, что вы видели в фильмах про хакеров: приложения для кражи контактов и фотографий с других смартфонов (в том числе Apple, да), инструкции по использованию ботнетов на бытовой технике, и даже гаджеты для перехвата трафика в сетях Wi-Fi, замаскированные под павербанки Xiaomi.

Подробнее можно почитать вот тут, только запаситесь успокоительным.

А пока в канале тишина, где-то в Америке идет Passive and Active Measurement Conference 2024.
Список докладов довольно интересен:

- Crawling to the Top: An Empirical Evaluation of Top List Use

- Towards Improving Outage Detection with Multiple Probing Protocols

- Designing a Lightweight Network Observability agent for Cloud Applications

- SunBlock: Cloudless Protection for IoT Systems

- Spoofed Emails: An Analysis of the Issues Hindering a Better Use and Larger Deployment of DMARC

- Trust Issue(r)s: Certificate Revocation and Replacement Practices in the Wild

- Watching Stars in Pixels: The Interplay of Traffic Shaping and YouTube Streaming QoE over GEO Satellite Networks

- Can LEO Satellites Enhance the Resilience of Internet to Multi-Hazard Risks?

- Out in the Open: On the Implementation of Mobile App Filtering in India

- Dom-BERT: Detecting Malicious Domains with Pre-training Model

- On the Dark Side of the Coin: Characterizing Bitcoin use for Illicit Activities

- Promises and Potential of BBRv3

- QUIC Hunter: Finding QUIC Deployments and Identifying Server Libraries Across the Internet

- Data Augmentation for Traffic Classification

- WHOIS Right? An Analysis of WHOIS and RDAP Consistency

- Insights into SAV Implementations in the Internet

- A tale of two synergies: Uncovering RPKI practices for RTBH at IXPs

- Anycast Polarization in The Wild

- Inside the Engine Room: Investigating Steam’s Content Delivery Platform Infrastructure in the Era of 100GB Games

- Network Anatomy and Real-Time Measurement of Nvidia GeForce NOW Cloud Gaming

- Exploring the Discovery Process of Fresh IPv6 Prefixes: An Analysis of Scanning Behavior in Darknet and Honeynet

- Following the Data Trail: An Analysis of IXP Dependencies

- From Power to Water: Dissecting SCADA Networks Across Different Critical Infrastructures

- A First Look At NAT64 Deployment In-The-Wild

- Ebb and Flow: Implications of ISP Address Dynamics

- Swamp of Reflectors: Investigating the Ecosystem of Open DNS Resolvers

- You can Find me Here: A Study of the Early Adoption of Geofeeds

Трансляция в зуме. Требуют регистрации. Ссылку на зум не даю, т.к. считаю, что нужно регаться, чтобы организаторы понимали свою аудиторию. Про запись трансляции ничего не нашел, но уверен, что кто-то запишет и выложит

На сайте есть записи с прошедших конференций

Cisco теперь и одежду продает и лукбуки собственные выпускает. Модники, продавайте свои роутеры и покупайте футболки
https://servernews.ru/1101612/

Собственно, одежда тут

Как собрать контейнер и не вооружить хакера

Хакеру необязательно ставить внутрь системы или контейнера какой-то дополнительный софт. Часто для плохих дел достаточно всеми любимых утилит типа curl, vim, pip

В статье о том, как можно использовать эти с виду безопасные утилиты в деструктивных целях и как от этого защититься

#security #docker #lolbins

​Немного интеллектуальной ностальгии😎

Осенью 2019 года мы запустили цикл статей «Практические истории из наших SRE-будней». Мы включали в эти материалы разные небольшие, но любопытные истории — когда-то что-то где-то неожиданно перестало работать, а решение проблемы оказалось нетривиальным.

Эти статьи отлично развивают насмотренность, позволяют проследить за логикой решения нестандартных инженерных задач, а также показывают, насколько неожиданными и нетипичными могут быть источники беспокойств. Итак, поехали🏎

6 практических историй из наших SRE-будней
Golang и HTTP/2. Старая Symfony и Sentry. RabbitMQ и стороннее прокси. Джин в PostgreSQL. Кэширование s3 в nginx. DDoS и Google User Content.

Практические истории из наших SRE-будней. Часть 2
Kafka и переменные от Docker’a в K8s. Как скромные 100 байт стали причиной больших проблем. Как был перегружен K8s-кластер… а на самом деле — перегрет. Ода pg_repack для PostgreSQL.

Практические истории из наших SRE-будней. Часть 3
Затянувшийся перенос сервера в виртуальную машину. Безопасность для Kubernetes-оператора ClickHouse. Ускоренная перезаливка реплик PostgreSQL. CockroachDB не тормозит?

Практические истории из наших SRE-будней. Часть 4
Жил-был нажимательный дом и был у него друг — смотритель зоопарка. Крадущееся обновление на MySQL 8, затаившийся ru_RU.cp1251. Битва Cloudflare с Kubernetes за домен.

Практические истории из наших SRE-будней. Часть 5
Как мы сбежали от прожорливого BlueStore. Бесконечно падающие пробы. redis-operator и потерявшийся приоритет.

Практические истории из наших SRE-будней. Часть 6
Легко ли сегодня установить пакет в CentOS 6? Внезапное переключение DNS и Ingress. Шарада с шардами. Что может быть проще, чем восстановить таблицу из бэкапа? Pod’ов нет, но вы держитесь.

Практические истории из SRE-будней. Часть 7
Как несвязанные коммиты в пакетах Linux привели к неожиданным проблемам.

Расскажете в комментариях к посту, какие интересные инженерные задачи приходилось решать вам?

Сегодня хотим поделиться с вами прикольным расширением Argo CD для Trivy Operator. Расширение позволяет прямо в интерфейсе Argo CD отображать vulnerability reports, созданные Trivy Operator в результате сканирования на уязвимости docker образов.

Для того чтобы установить расширение к себе в Argo CD необходимо немного пропатчить Deployment argo-cd sever. А именно – добавить init-container с необходимым React Component.

Кроссворд про #security и много других игр (неинтересных) по кнопке Play Other Games

https://securityawareness.usalearning.gov/cdse/multimedia/games/cybersecurity-crossword/index.html

С Праздником, товарищи!

Я верю, что наука и любознательность человечества победят алчность и тягу к наживе. И мы будем жить в прекрасном мире и каждый день познавать тайны Вселенной

Поехали!

#postgresql #db

​​Figma красиво рассказывает, как они масштабируют свою базу данных (горизонтальное шардирование Postgres).

Всего 4 года назад они хвастались, что все данные помещаются в одной БД на самой жирной тачке в AWS и выросли с тех пор в 100 раз.

Во-первых, прикольно читать, как устроен сервис, которым пользуешься почти каждый день. Во-вторых, в «internet-scale компаниях», мне кажется, засилие MySQL, так что приятно, когда делятся серьезными инсталляциями Postgres, который предпочитаем мы и большинство наших знакомых.

Вспомню ещё две другие, довольно старые истории про масштабирование баз данных:

1. Вот техническая команда инстаграма в 2012 году дает прикольные советы и рассказывает про шардирование постгреса. Заметьте, совсем другой вайб — не огромный лонгрид, а короткие заметки «с чем столкнулись и что сделали».

2. Культовая статья Uber 2016го года, которая называется «Почему мы переехали с MySQL на Postgres». Прикол в том, что название не отражает сути: они отказались от реляционной БД и сделали свою собственную СУБД на основе MySQL — срачи про это не утихают до сих пор, вот последнее обсуждение 2021 года и набор ссылок на предыдущие.

Вот неплохой список подходов к масштабированию БД, пускай они и не нужны в 99% проектов.

RBAC в kubernetes очень гибкий, но есть некоторые неудобства. Например:

- в одном RoleBinding нельзя назначить пользователю несколько ролей. Да, так и должен работать RoleBinding, но в системах со сложной матрицей доступа придется создавать сотни манифестов

- невозможно забиндить роль к пачке неймспейсов по маске имени или другим параметрам

- невозможно (или сложно) отследить появление нового неймпспейса и сразу выписать ему нужные доступы

С этим сильно помогает rbac-manager. Он позволяет описать все (Cluster)RoleBinding в одном манифесте, что сильно уменьшает количество строк кода. Позволяет биндить роли к неймспейсам на основании лейблов. Мы в компании пользуемся им уже несколько месяцев и очень довольны.

Я даже сделал чарт для деплоя ролей, кластерролей и манифестов для rbac-manager из единого места. Пользуйтесь на здоровье!

#k8s #rbac

Ребятки решили сделать разным CNI больно и запустили тест на 40 Гбит/с ибо интересно же, кто что может выдать в 2024.
Самое интересное на мой взгляд:
- Без eBPF забудь про многопоточку
- Универсального комбайна, который хорошо молотит любой вид нагрузки, так и не изобрели
- Свои варианты применения есть и у куброутера, и у силиума, и калико, и так далее. Просто не надо брать бездумно по названию
https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-40gbit-s-network-2024-156f085a5e4e

https://voyager.jpl.nasa.gov/mission/status/

У NASA есть страница с онлайн статусом программ Вояджеров. Они больше 46 лет бороздят просторы Млечного Пути

На YouTube есть канал с разной девопсячей всячиной. И у них есть целый плейлист по сравнению разных аналогов. Идея классная - берем задачу, инструменты для её решения, сравниваем их, общаемся с разработчиками.
Реализация ужасная. Лично мне слушать это невозможно - раздражающий смех без повода - признак сами знаете чего. К счастью, у них есть репо с описанием продуктов

Темы выпусков:
- Build Container Image - Feat. Carvel kbld, Buildpacks, and Lima

- Store Image in a Registry - Feat. Harbor, Docker Hub, and Dragonfly

- Define And Deploy Apps - Feat. Helm, Kustomize, Carvel ytt, and cdk8s

- Use HTTPS - Feat. cert-manager

- Setup PostgreSQL DB In The Dev Environment - Feat. Helm And Crossplane

- Manage DB Schema - Feat. SchemaHero And Liquibase

- Develop Apps - Feat. Telepresence, DevSpace, Nocalhost, And Devfile

- Provision a Production Cluster - Feat. Crossplane And Cluster API

- GitOps - Feat. Flux, Argo CD, and kapp-controller

- Ingress - Feat. Contour, NGINX Ingress, and Emissary-ingress

- Admission Controllers - Feat. Kyverno, OPA, Kubewarden, Cloud Custodian, and VAP

- Runtime Policies - Feat. KubeArmor and Falco

- Secrets Management - Feat. ESO, SSCSID, Teller, and SOPS

- mTLS and Network Policies - Feat. Istio, Linkerd, Cilium, Kuma, and NSM

- Kubernetes Scanning - Feat. Kubescape and Snyk

- Signing Artifacts - Feat. Notary, Sigstore, and Open Policy Containers

- Workload Identity - Feat. SPIFFE, SPIRE, and Athenz

- Authenticating Users - Feat. Dex and Keycloak

- Authorizing Access - Feat. Hexa, Paralus, and OpenFGA

- Misfits - Feat. ContainerSSH and Confidential Containers