Админим с Буквой

2021-11-04 23:23:38 Ожиданием, что следующий митап будет 10/10 10 ноября встречаемся в онлайне на нашем юбилейном десятом DevOpsMinsk meetup!

Посмотрим на реальный опыт запуска kubernetes на Windows, в чем заключаются отличия от Linux и какие проблемы можно ожидать. Ну, а мониторинга много не бывает – обсудим из чего он состоит, пробежимся по существующим решениям и подчеркнем их достоинства и недостатки.

Дата и время: 10 ноября, 17:00 (UTC+3)

Регистрация открыта https://community-z.com/events/devopsminsk-meetup-10
Поздравления тоже принимаются Открыть/Комментировать

2021-11-02 23:12:18 защищаем апишный роут в nginx

действия не сложные, но приходится делать не часто, потому не помню всё наизусть и каждый раз гуглить приходится, а потому запишу сюды, чтобы было.

Дано: апи, и N подрядчиков которые будут туда ходить. на границе с интенрнетами стоит nginx.
Задача: максимально защитить доступ к апи для внешних сервисов. (подходит в том числе для pcidss)

1) каким либо способом генерим сертификаты. Хорошо описано вот здесь: https://habr.com/ru/post/213741/#comment_10231686
По сути нам нужно будет получить пару для УЦ, пару для nginx, и N пар для клиентов. там же написано как это подключить, чтобы требовало проверки, используя ssl_client_certificate и ssl_verify_client on;
2) для того чтобы ходить могли только конкретные сертификаты, нужно рассказать nginx какие из них доверенные. это сделать можно например проверяя сериал или хеш сертификата, в данном случае сериал. получаем его так:

cert=filename.crt
serial=$(openssl x509 -in ${cert} -text -noout | grep -A1 Serial | grep -v Serial | tr -d ' ') && \
echo classic serial: $serial && \
echo \$ssl_client_serial: $(echo $serial | tr -d ":" | tr '[:lower:]' '[:upper:]')

и интегрируем

map $ssl_client_serial $reject {
default 1;
..........C5CE16 0; #client1
..........635A2D60 0; # client2
}
server {
....
location / { deny all; }
location /secret {
if ($reject) { return 403; }

тут мы запрещаем ходить везде кроме особого роута, чтобы клиент не мог случайно попасть на случайно открытые роуты которые ему не предназначены (когда разраб накосяпорил и выставил какой-то роут с дебагом или метриками)
3) получаем список ip подрядчика и пишем в роуте стандартные allow-deny

allow 1.2.3.4 # client1
...
deny all;
4) в качестве дополнительной проверки передаём апстриму инфу о том что за клиент пришёл

proxy_set_header X-Subject-Name $ssl_client_s_dn;

Таким образом, только конкретный ip только имея конкретный сертификат может сходить только на конкретный роут и о том какой пришёл клиент узнаёт бекэнд.

#nginx #security Открыть/Комментировать

2021-11-01 09:00:23 Хорошо учиться на чужих ошибках, но еще лучше — на историях успеха.

С 8 по 11 ноября на конференции DevOops 2021 спикеры расскажут о лучших DevOps-практиках, которые помогли им наладить процессы в команде:
Олег Ненашев, «[R]Evolution of open source CI/CD tools»;
Павел Селиванов, «Повышаем отказоустойчивость и снижаем расходы в Kubernetes»;
Алина Власова, «Как сделать стабильно, когда тысячи разработчиков могут всё сломать, или как организован CI в монорепозитории "Лаборатории Касперского"»;
Владимир Гурьянов, Андрей Колаштов, Дмитрий Столяров, «TSDB – взгляд изнутри. Миграция на Prometheus и Cortex. Опыт Okmeter»;
Kerim Satirli, «Building Trustable Infrastructure».

Это лишь малая часть программы — вас ждет 30 докладов и воркшопов. Узнать подробности и купить билет можно на сайте (https://bit.ly/3yAA6aE).

Кстати, промокод bykvaadm2021JRGpc еще действует, и поможет приобрести Personal Standard билет со скидкой 2000₽. Открыть/Комментировать

2021-10-29 11:40:51 На Хабре вышла расшифровка вебинара «Дыры и заборы: безопасность в Kubernetes»: https://habr.com/ru/company/southbridge/blog/584306/

Если эксперты нравятся, имейте в виду: 5–7 ноября они ведут интенсив по безопасности в кубе, на него можно зарегистрироваться со скидкой 50%. Введите промокод SecK8s по ссылке https://slurm.club/3nArGfQ Открыть/Комментировать

2021-10-27 10:00:14 Хочешь знать, как эффективнее всего защититься от кибератак?

Уже с 16 по 18 ноября ждем тебя на одном из самых важных событий этого года в сфере информационной безопасности — глобальной онлайн-конференции CLOUDSEC 2021 (https://bit.ly/3jFrwm3) от Trend Micro.

Тебя ждет 72 часа полного погружения в мировой опыт облачной безопасности. Обсудим тренды, перспективы развития, вызовы, актуальные проблемы и их решения.

А что еще?

Тематический контент;
Живые выступления;
Полезные инсайты;
Нетворкинг;
Выставка решений;
Площадка ресурсов;
Игровая среда.

Регистрация уже началась. Переходи по ссылке: https://bit.ly/3jFrwm3 Открыть/Комментировать

2021-10-22 11:31:13 как меня в гугле забанили

Очень надеюсь что эта краткая заметка позволит вам сохранить много времени.

Все не любят перемены. И больше всего гугл. Представьте себе что у вас есть корпоративная почта в гугл воркспейсе, различные группы рассылок, служебные учетки и вы шлёте письма клиентам и сотрудникам через вот это вот всё. А затем приходит необходимость поменять свой внутренний smtp relay и вы начинаете слать письма с другого места и дальше начинается самое веселое: письма перестают приходить либо вообще, либо в идут в очень маленьком количестве.

Куда смотреть о проблеме и что делать вообще:
1) admin.google.com -> отчёты -> поиск в журнале электронной почты. Здесь мы можем задавать разные фильтры кому-от кого-с какой темой и наткнуться на то что:
- гугл реджектит часть писем на подлёте, говоря что это спам/фишинг
- гугл отправляет часть писем на модерацию
2) admin.google.com -> безопасность -> центр оповещений. Что воообще происходит с вашими аккаунтами - проверить инфо о том залочен-не залочен
3) groups.google.com -> вступаем в нужную группу, находим ее через этот урл и ищем письма "на рассмотрении". Это как раз те письма которые отправлены на модерацию. И их еще можно восстановить. Здесь можно пометить письма и их автора как надёжные
4) admin.google.com -> приложения -> google workspace -> gmail -> безопасность. Добавляем здесь в вайтлисты ваши аккаунты рассылки и отдельно доверенные шлюзы - ip адреса с которых выполнется рассылка.
5) мониторинг. постарайтесь мониторить статистику успешно доставленных до гугла писем.

#gmail Открыть/Комментировать

2021-10-22 10:00:22 28 октября в 18:00 приглашаем на Azure DevOps Project Insider.
⠀
Команда EPAM в прямом эфире обсудит тренды Cloud-технологий и расскажут о возможностях развития Azure DevOps-инженера в EPAM.
⠀
Подключайтесь онлайн, чтобы:
⠀
Исследовать преимущества Azure перед иными Cloud-платформами
Рассмотреть стек технологий Azure Cloud-разработчика в ЕРАМ
Изучить свои карьерные возможности в инновационной сфере
Узнать о проектах ЕРАМ в Azure DevOps-практике
Задать вопросы нашим ведущим инженерам

Язык встречи: русский.
Регистрация по ссылке.

До встречи! Открыть/Комментировать

2021-10-21 15:00:11 #ИБ #Вакансия

Всем привет,

Мы в VK находимся в поисках инженеров и экспертов по информационной безопасности.

Задачи:
• разрабатывать и внедрять механизмы обеспечения информационной безопасности;
• проводить аудиты безопасности инфраструктурных систем и веб-проектов;
• участвовать в работе Bug Bounty программы VK;
• консультировать администраторов и разработчиков, помогая им строить безопасные сервисы;
• исследовать вопросы безопасности различных технологий, предлагать решения и разрабатывать рекомендации по их безопасному использованию.

Требования:
• хорошо разбираться в основных типах атак и уязвимостей;
• уметь искать уязвимости «руками»;
• хорошо разбираться в Linux-системах;
• хорошо разбираться в сетевых протоколах и атаках на них;
• уметь программировать на скриптовых языках;
• уметь общаться с людьми.

Формат работы: удаленка/гибрид/офис.

Зарплатная вилка: гибкая, так как ищем специалистов от уровня middle до lead.

Более подробное описание проекта и условий можно найти по ссылке.
По всем вопросам пишите в телеграм - @askobeev или на почту a.skobeev@corp.mail.ru Открыть/Комментировать

2021-10-21 14:00:15 кубернетес для самых маленьких

Статья для тех кто куб кто ещё не трогал или только-только начинает трогать и не читал официальную доку. Это как с лурком - можно про теорию струн прочитать на вики, а можно на лурке. суть одна и та же, а язык разный.

https://habr.com/ru/company/flant/blog/583660/ Открыть/Комментировать

2021-10-21 11:48:46 Новый курс от Антона Ларичева по Docker и Ansbile (15,5 часов видео-лекций, задания и упражнения). Рассматривается deploy реального стека приложений на кластер серверов Swarm с помощью Ansible.

Детально разбираются такие технологии, как Docker, Docker Compose, Docker Swarm и Ansible. При этом курс содержит не только базу для новичков, но и более сложные темы, к примеру отладку и асинхронные задачи в Ansible или управление кластером при помощи модулей Docker.

В результате курса вы получите знания и навыки, которых будет достаточно для того, чтобы автоматизировать своё работу на проекте и эффективно доставлять реальные приложения на production. Для поддержки у вас всегда будет доступ к чату, где вы можете задавать вопросы преподавателю или другим студентам.

Для подписчиков канала промокод для покупки курса за 1090 рублей

https://www.udemy.com/course/docker-ansible/?couponCode=35BBF4DA620D23E4E84A

#реклама Открыть/Комментировать