С
Нестандартные порты не дадут вам защиту. Разберитесь, через что вас сломали. Если вы просто переинсталите - сломают ещё раз через ту же уязвимость.
Size: a a a
2021 May 17
SH
понял! спасибо
2021 May 18
AA
вакуха подъехала? 😊
AA
довольно непривычно видеть вакухи без докеров/куберов сегодня
AA
Обычно спрашивают можно ли вакансии постить, а эта ещё и совсем не релевантна даже.
ЕК
почему не релевантна?
AA
Потому-что тут у нас чатик про безопасность в основном, а у вас просто DevOps.
AA
потому что про сосурити нет ничего
AZ
ой, да кому нужна секурность, добавил в хельм чартик
securityContext:и доволен =)
capabilities:
drop:
- SETPCAP
- MKNOD
- AUDIT_WRITE
- CHOWN
- NET_RAW
- DAC_OVERRIDE
- FOWNER
- FSETID
- KILL
- SETGID
- SETUID
- NET_BIND_SERVICE
- SYS_CHROOT
- SETFCAP
readOnlyRootFilesystem: true
K
sudo /sbin/poweroff надёжнее.AZ
и кабеля питания вынуть отовсюду, даже из чайника
DY
А потом злоумышленник вылезает за счёт легитимных capabilities )))
DY
И оказывается что безопасность на этом не ограничивается
2021 May 31
AP
Хорошее описание эксплуатации уязвимости ядра в подсистеме
Судя по демо и описанию, атакующий в контейнере с обычного пользователя поднялся до
Ну а все благодаря тому, что по умолчанию можно делать любой системный вызов. Тут либо cами харденим или ждем дефолтного использования
P.S. Сегодня и завтра я на DevOpsConf 2021 с докладом про "SecDevSecOpsSec" - буду рад познакомится и пообщаться со всеми лично
P.S.S. Как говорят создатели
eBPF под номером CVE-2021-31440. Из примечательного тут то, что в качестве демонстрации продемонстрирован container escape в Kubernetes (Ubuntu 20.10, ядро 5.8.0 и mikrok8s 1.20). Судя по демо и описанию, атакующий в контейнере с обычного пользователя поднялся до
root и, используя CAP_SYS_MODULE capability, загружает произвольный модуль ядра вне контейнера. Ну а все благодаря тому, что по умолчанию можно делать любой системный вызов. Тут либо cами харденим или ждем дефолтного использования
seccomp о котором писали раньше. Ну и, конечно, capability нужно тоже резать.P.S. Сегодня и завтра я на DevOpsConf 2021 с докладом про "SecDevSecOpsSec" - буду рад познакомится и пообщаться со всеми лично
AFK!P.S.S. Как говорят создатели
The Pirate Bay: "In Real Life (IRL). We don't like that expression. We say AFK - Away From Keyboard. We think that the internet is for real."
bc
Дэвсекопсеры, кто-нибудь может поделиться шаблоном модели угроз по STRIDE?
c
не помню, но кажется здесь что-то такое было
https://cyberdeveloper.pro/?p=170
https://cyberdeveloper.pro/?p=170
2021 June 03
DY
Может быть кому-нибудь будет интересно)
https://t.me/appsec_job/78
https://t.me/appsec_job/78
ᅟᅟ
300к и сработаемся
ᅟᅟ
Банк может позволить себе такие бабки потратить на специалиста. Так что резонно