sysadmin.su

2021-02-12 10:51:33 На прошлой неделе удалось посмотреть трансляцию доклада "HashiCorp Vault в k8s" на площадке DevOps Novosibirsk. Я не специалист по решению от HashiCorp и доклад для меня был полезным. В нем рассказывается о нескольких возможных подходах для работы с секретами, их плюсы и минусы. Для нетерпеливых, в итоге внутри компании докладчика остановились на проекте bank-vaults, который работает через MutatingAdmissionWebhook. Одним из важных критериев при выборе подхода играло соответствие 12 факторам.

В рамках Q&A часто упоминался предыдущий доклад автора "Hashicorp Vault и как его готовить для разных команд". Для полной картины по работе с Vault его также рекомендуется посмотреть. После трансляции была интересная дискуссия про backup Vault (в записи ее нет) и работы с ним при необходимости. Актуальная проблема/задача особенно в рамках больших компаний.

Как всегда, стоит помнить то, что отлично работает в одной компании, может не заходить у вас и к выбору технологий стоит подходить очень внимательно. При этом технологии активно развиваются и как говорит сам автор в рамках доклада, что, когда они внедряли у себя, некоторых фичей вообще не было в том же Vault. Открыть/Комментировать

2021-02-08 19:36:49 ​​Утилита для аудита безопасности Linux сервера

Есть бесплатная утилита для быстрого аудита безопасности Linux сервера - Lynis. Она есть в большинстве стандартных репозиториев современных дистрибутивов, так что установить ее очень просто:

# yum install lynis
# apt install lynis

Если нужна самая свежая версия, ее можно взять на github. Запустить базовую проверку системы можно следующей командой:

# lynis audit system

После выполнения вы получите очень подробную информацию о системе. Желтым и красным будут помечены замечания безопасности. В самом конце будет список рекомендаций по исправлению проблем.

Утилита поддерживает огромное количество проверок. Из основных:

Системные настройки (юзеры без паролей, default umask, разрешения sudoers, shells и т.д.)
Популярный софт (ssh, email, firewall, webserver и т.д.)
Параметры ядра
Состояние пакетов (установка security packages, автообновление пакетов и т.д.)

Linys отличается в первую очередь тем, что очень проста в использовании и наглядно объясняет все результаты. Не нужно быть 7 пядей во лбу по безопасности, чтобы оценить результат аудита. Да, утилита скорее всего много всего найдет и не все это надо исправлять. Но по описанию вы сами сможете оценить степень опасности, чтобы понять, надо вам что-то исправлять или нет.

В общем, рекомендую добавить утилиту в закладки, чтобы использовать для быстрого базового аудита безопасности linux сервера. Открыть/Комментировать

2021-02-07 19:08:35 Не знаю зачем они это на две статьи разделили, можно было всё в одной написать, но тем не менее - как быстро записать сессию терминала в файл и потом воспроизвести её. Всё делается с помощью script и scriptreplay:

• How to capture terminal sessions and output with the Linux script command.
• How to replay terminal sessions recorded with the Linux script command.

#cli #bash #script Открыть/Комментировать

2021-02-06 12:28:31 Kubernetes on bare metal: SSL

Презентация





#k8s #kubernetes Открыть/Комментировать

2021-02-05 23:11:05 нашел интерактивную обучалку сетям для самых маленьких, недоработанная еще видимо, но тем не менее https://netsim.erinn.io/ Открыть/Комментировать

2021-02-05 20:04:38 Раз сегодня у нас пятница активизма, ловите вот еще и возможность легально скачать ключевой научпоп (Докинз, Саган, Сапольски и тд). Книги были выкуплены у издательств на пожертовования (там еще есть ссылка чтобы поучаствовать в дальнейшем выкупе)

LET THE VOICE OF REASON SHINE, как говорится

https://vsenauka.ru/knigi/besplatnyie-knigi.html Открыть/Комментировать

2021-02-05 19:31:00 https://m.habr.com/ru/post/541118/

#kuber #k8s Открыть/Комментировать

2021-02-05 14:19:06 Консольный менеджер сертификатов для JKS/PCKS12
https://habr.com/ru/post/539612/?utm_source=habrahabr&utm_medium=rss&utm_campaign=539612
Tags: Системное администрирование, Программирование, Кодобред, *nix, Оболочки, bash, linux, keytool, jks, jks_mgr.sh, shell, certificate, программирование, администрирование linux-систем
Author saboteur_kiev #habr Открыть/Комментировать

2021-02-05 13:08:03 https://blog.min.io/hybrid_cloud_success_strategies/ Открыть/Комментировать

2021-02-04 22:42:12 kubeaudit - разработка компании Shopify, призванная помочь в аудите Kubernetes кластеров на предмет использования общих механизмов безопасности. Основная задача убедиться, что вы запускаете защищенные контейнеры в кластере.

Что и как проверять задается через конфигурационный файл.

Есть 3 режима:
1. Manifest mode: Аудит YAML файла ресурса
2. Local mode: Аудит ресурсов локально (для подключения использует kubeconfig)
3. Cluster mode: Аудит ресурсов из кластера (запущен внутри контейнера кластера)

В Manifest mode, инструмент может автоматически исправлять недостатки или в соответствии с вашими собственными правилами.

Найденные проблемы имеют 3 уровня важности: Error, Warning и Info. При этом можно гибко настраивать для каких контейнеров или подов какой уровень важности будет применяться.

Формат вывода в CLI режиме можно регулировать ("pretty", "logrus", "json"), но мне лично больше понравилось использовать данный проект как Go package и самостоятельно определять, как и что будет Открыть/Комментировать