Новый перевод для блога — об опыте австралийской компании по использованию Kubernetes для нагруженного сервиса в production: https://habr.com/ru/company/flant/blog/519962/

Prometheus TSDB (Part 1): The Head Block

https://ganeshvernekar.com/blog/prometheus-tsdb-the-head-block/

#prometheus #grafana

​Как защитить Linux от подбора пароля грубым перебором?

Узнайте 24 сентября на открытом уроке «Брут SSH... не в нашу смену!». На вебинаре преподаватель Алексей Гришин познакомит вас с этим методом и его инструментами. Вы научитесь легко защищаться от подобных атак в Linux и делать безопаснее самый часто используемый протокол — SSH. Данный урок входит в программу практического онлайн-курса «Безопасность Linux», который начнется - 29 сентября!

Для регистрации на вебинар необходимо пройти вступительный тест, ошибки разберем на занятии: https://otus.pw/jlcs/

Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.

Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}

На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:

{"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpwn","created_at":"2020-09-21T17:25:55.046Z","bio":"","bio_html":"","location":"","public_email":"","skype":"","linkedin":"","twitter":"@i_bo0om.ru","website_url":"https://t.me/webpwn","organization":"","job_title":"","work_information":null}

Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.

По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys

Отдельного упоминания заслуживает avatar_url:

”avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon”

Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.

echo -n "webpwn@bo0om.ru" | md5


4e99709ca6b52f78d02cb92a5bc65d85

А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.

По поводу #go race detector, решил погуглить всякие статейки. Нашел одну, которую не узнал, может и не видел. Конечно же ничего нового, но такое ощущения, что больше теории рассказано, чем обычно. Вдруг заинтересует.

https://krakensystems.co/blog/2019/golang-race-detection

Mastering systemd: Securing and sandboxing applications and services
https://www.redhat.com/sysadmin/mastering-systemd

Ох какой крик души

[Перевод] Дорогой Google Cloud, отказ от обратной совместимости тебя убивает
https://habr.com/ru/post/519086/

Тут в соседних чятиках бегает инфа про "мегауязвимость" в api GitLab, по которой можно перебрать список пользователей. Для тех кому самому лень автоматизировать этот процесс ваш покорный слуга накропал PoC скрипт на пятоне, который позволяет понять, что не так страшен черт, как его малюют.

З.Ы. Используйте только в легальных целях (например для выбивания бюджета на ИБ у директоров) и все такое.

З.З.Ы. Если, что то речь про этот пост с "мегауязвимостью".

"Свой первый кластер я собрал в 15 лет" (с)
https://habr.com/ru/post/519962/

​​sqlbench measures and compares the execution time of one or more SQL queries.

The main use case is benchmarking simple CPU-bound query variants against each other during local development.

Only PostgreSQL is supported at this point, but pull requests for MySQL or other databases are welcome.

https://github.com/felixge/sqlbench

#go

Gebug — инструмент, позволяющий простым способом выполнить отладку докеризированных приложений на Go: https://proglib.io/w/82afc423

в догонку к прошлому посту @ilyoff прислал роадмапы для разработчиков

Статья об ElasticSearch в стиле "послание себе, когда начинал с ним работать".

В статье есть информация про индексы, шарды, потребление ресурсов и траблшутинг.

#observability #elk #elasticsearch

Конференция DevSecOps: сегодня, бесплатно

Буду краток:
https://bit.ly/2EQ49oH

Новый Awesome DevSecOps на русском

В силу того, что последняя статья с подборкой инструментов DevSecOps собрала весьма восторженные отзывы, решил вынести все тулзы (и добавить еще больше) в отдельный Awesome на GitHub. Туда же вставил все статьи и доклады на русском языке, которые я только знаю и смог найти в Интернете.

Итого:
- 16 различных практик
- 100+ инструментов
- 10+ сторонних подборок
- 30 статей на русском
- 26 докладов на русском

Разумеется, есть еще многое, что туда не попало. Предлагайте инструменты, свои и чужие труды на русском языке, а также добавляйте репо к себе.

https://github.com/Swordfish-Security/awesome-devsecops-russia

#dev #ops

Creating Monitoring Dashboards

Недавно наши команды в Hotels.com, входящей в Expedia Group, начали переходить с Graphite на платформу внутренних показателей, основанную на Prometheus. Мы увидели в этом возможность улучшить нашу наблюдаемость и, среди прочего, предоставили набор простых рекомендаций, которые помогут с миграцией. Читать на Медиуме.

BPF для мониторинга Linux

#linux #book #bpf

Пять промахов при развертывании первого приложения на Kubernetes

Кажется, достаточно перенести приложение на Kubernetes, либо с помощью Helm, либо вручную, — и будет счастье. Но не всё так просто. Перевели статью DevOps-инженера Джулиана Гинди. Он рассказывает, с какими подводными камнями его компания столкнулась в процессе миграции, чтобы вы не наступали на те же грабли.

#свежаястатья