Rootless containers

Нашел на просторах Интернета небольшой сайт Rootless Containers, который отражает прогресс решения задачи по работе с контейнерами без root в разных проектах.

В качестве примеров:
- Встроенные возможности Docker на разных версиях
- Podman rootless-mode
- BuildKit rootless-mode
- LXC unprivileged-mode
- Singularity fakeroot-mode

Есть также ряд сценариев, которые не попали в rootless, так как используются SETUID бинари или run-time контейнера продолжает работать от рута:
- Kaniko
- Makisu
- работа с docker.sock через группу docker и —userns-nemap режим

Для k8s rootless остается пока где-то в будущем. На текущий момент такая возможность есть только в Usernetes и k3s, которые не применимы для продакшн сред. Для решения rootless задачи они используют RootlessKit.

#docker #ops #k8s

97 Things Every SRE Should Know
Collective Wisdom from the Experts

Emil Stolarsky and Jaime Woo

2020

​Ты — уже далеко не новичок в программировании и хочешь дальше  развиваться в профессии?

Практический онлайн-курс «Архитектор ПО» — твой ключ к профессиональному росту!

Программа создана специально для middle- и senior-разработчиков, тимлидов и системных администраторов, готовых освоить лучшие практики по разработке архитектуры программного обеспечения и сложных распределенных отказоустойчивых систем.

Под руководством Елисеева Павла, архитектора сервиса в ПАО «Сбербанк», ты освоишь навыки, необходимые для работы, а также получишь профессиональные советы и лайфхаки от преподавателя.

Переходи по ссылке: https://clc.to/ytpC0g, чтобы успеть попасть на курс со скидкой до 60%

Новый видос отснял. Я в очередной раз экспериментирую с форматом, думаю дальше примерно в каком-то таком ключе и продолжу. Только нужно будет поиграться с углом расположения камеры, которую довольно непросто выставить потому что очень мало места на столе. Как и обычно жду от вас комментарии о том что понравилось-не понравилось.

0:00           Разгончик
7:39           Перенаправление вывода, stdout
14:45         Pipe, объединение потоков
17:50         Операторы &&, ||, ;, коды ответов, /dev/null
25:51         stderr, фильтрация ошибок, grep
30:48         stdin, echo -e, grep file, циклы bash, one-liner
44:41         Дозапись в файл, пустой поток, многострочная запись, EOF
49:41         История команд в bash, bash hot-keys, ctrl+
1:00:24     Про регулярки, tail, egrep, объединение фильтров
1:19:01     Основные утилиты для поиска и фильтрации: rg, ack, egrep, less....

https://www.youtube.com/watch?v=RjR3TLchpag&list=PL3ww5Qxhc2rDSW4C-URnbHI5T6b6vLDCv&index=7

#LinuxTalks

А вот и percona поехала с Prometheus на VictoriaMetrics в своем PMM

Foiled by the Firewall: A Tale of Transition From Prometheus to VictoriaMetrics

https://www.percona.com/blog/2020/12/01/foiled-by-the-firewall-a-tale-of-transition-from-prometheus-to-victoriametrics/

Пора пробовать #vector, если этого еще не сделали

https://vector.dev/highlights/2020-11-19-prometheus-remote-integrations/

Today we announced Amazon EKS Distro (EKS-D), a Kubernetes distribution based on and used by Amazon Elastic Kubernetes Service (Amazon EKS) to create reliable and secure Kubernetes clusters. 

https://aws.amazon.com/blogs/opensource/introducing-amazon-eks-distro/
+

Amazon EKS Distro (EKS-D) is a Kubernetes distribution based on and used by Amazon Elastic Kubernetes Service (EKS) to create reliable and secure Kubernetes clusters.

https://github.com/aws/eks-distro

ZFS: архитектура, особенности и отличия от других файловых систем

Георгий Меликов, контрибьютор проектов OpenZFS и ZFS on Linux и разработчик IaaS в команде Mail.ru Cloud Solutions, рассказывает об устройстве файловой системы ZFS. В обзоре — из каких компонентов она состоит, как работает и какие фичи скоро появятся.

#свежаястатья

[Перевод] Проверим тысячи пакетов PyPI на вредоносность

#habr

How to monitor Go applications with VictoriaMetrics

https://victoriametrics.medium.com/how-to-monitor-go-applications-with-victoriametrics-c04703110870

#victoriametrics #monitoring #metrics #go #golang #prometheus #grafana

Настройка GitHub Actions для автоматизированного тестирования средствами Python в конвейере CI/CD
https://habr.com/ru/post/530630/?utm_campaign=530630&utm_source=habrahabr&utm_medium=rss

В этой статье описываются операции по тестированию клиентской части приложения с помощью TestProject (https://testproject.io/) и pytest (https://blog.testproject.io/2019/07/16/behavior-driven-python-tests-using-pytest-bdd/), а также способы выполнения тестов через GitHub Actions. Если у вас общедоступный репозиторий GitHub, все это будет совершенно бесплатно. Эта возможность хорошо подходит для изучения TestProject и выполнения интеграционного тестирования в ваших проектах. Если вы хотите выполнять эти операции из закрытого репозитория, то GitHub предлагает очень большое количество бесплатных минут, см. https://github.com/features/actions#pricing-details.

То о чем я постоянно продолжаю говорить, что не нужно использовать никакие образа из докер хаба кроме официальных.  Создавайте свое дерево образов в котором вы контролируете все вносимые изменения, иначе нежданчик может прилететь откуда не ждали. На картинке приведен отчет о сканировании компанией Prevasio 4 млн. образов с докер хаба, результаты,  как видно, не утешительные, 51% образов имеют критические проблемы безопасности, а без уязвимостей их только 20%. Помимо уязвимостей, так-же найдены образы, в которых обнаружено вредоносное ПО.
Полный отчет можно скачать по ссылке.

No dockershim in k8s, what about security?

Громкая новость, что в kubernetes 1.20 будет выпилен dockershim как high-level runtime. Таким образом, к концу 2021 году всем необходимо будет перейти на cri-o или containerd.

Через некоторое время появляется страница в официальной документации k8s:

Don't Panic: Kubernetes and Docker

А чтобы разобраться, что это вообще такое, советую взглянуть на следующие материалы:

- How Container Runtimes matter in Kubernetes?
- Diving Deeper Into Runtimes: Kubernetes, CRI, and Shims

С точки зрения security советую вам посмотреть следующее видео:

Security Considerations for Container Runtimes

Если коротко, то мы первое, в чем выиграет безопасность, так это отсутствие CAP_NET_RAW в качестве capability, при этом сохраняется возможность делать ping внутри котейнера. Это должно решить проблему с CVE-2020-14386 и возможностью проведения MiTM атак.

#k8s #ops #docer

Как работает память в Python

#habr

Перевод публикации из блога Kubernetes, авторы которой призывают сообщество не паниковать по поводу deprecated Docker в Kubernetes 1.20. https://habr.com/ru/company/flant/blog/531120/

Анонсировали Terraform 0.14
Анонс: http://amp.gs/aMIS
Полный чейнджлог: http://amp.gs/aMIN

Из интересного:
В выводе plan и apply теперь скрываются некритичные неизменившиеся параметры
У переменных появился параметр sensitive, с ним значения маскируются в выводе
Появились официальные сборки для арм (обещают сделать и для 0.13)
Новая версия совместима со стейтами всех версий
Глобальный ключ -chdir, эквивалентный выполнению в другой директории
Новые функции textencodebase64 и textdecodebase64 для base64 и alltrue и anytrue для проверки истинности всех и хотя бы одного значения в списке условий

💬 И продолжая разбирать фидбеки...

• Alert via telegram when user logon via SSH. Шлём уведомления в Telegram при авторизации по SSH на сервере.
• SSH Attack Stats. Собираем и отображаем статистику атак на SSH.

#ssh #фидбечат #github

Use hprof & gprof2dot to visualize the runtime of your Java application
https://t.me/iv?url=https://medium.com/@xingzeng/use-hprof-gprof2dot-to-visualize-the-runtime-of-your-java-application-a475fc4e0e27?source=rss------java-5&rhash=f5b2f9872995e4

Аудиторам/пентестерам на вооружение, а защитникам (Blue team, DevSecOps) на заметку.
Щит и меч как известно две стороны одной медали.

Рассмотрим сегодня классную технику побега из контейнера или, с другой стороны, очень опасную конфигурацию workload.
Если внутрь Pod смонтирована директория /var/log и атакующего есть ServiceAccount token на чтение nodes/log, то он может общаться в Kube API Server, используя этот token. Он может считать все данные с файловой системы Node на которой работает Pod из которого он шлет запросы.

В проекте kube-pod-escape автор реализовал полностью подобную ситуацию и еще 3 полезные команды для проведения самой атаки:
- lsh - аналог ls, для работы из контейнера на хосте
- cath - аналог cat, для работы из контейнера на хосте
- find_sensitive_files.py - считывает с хоста критичные файлы типа private keys и других ServiceAccount token

Согласитесь с первого взгляда монтирование логов и обращение к ним не смотрится как что-то что может привести к побегу из контейнера, и как то что нужно запрещать на том или ином уровне.