В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevOps

1386 membersпожаловаться на группу
2021 January 25

DS

Dmitry Sergeev in DevOps
Aleksey Freeman
Спасибо за наводку, поковыряю его.
Правда у коллег есть мнение что центр выдачи сертификатов должен жить отдельно от основного кластера чтобы нельзя было похитить ca.key и развить вектор атаки в случае проникновения в хост-систему. Над этим буду думать
Держите отдельно, заливайте в vault. Пусть приложение берет серты из vault. Вангую коллеги что про ca.key говорили, не захотят допиливать приложение для интеграции с vault и нормальной ротации сертов через него. Коллеги они такие
источник
14:52пожаловаться#1

DS

Dmitry Sergeev in DevOps
Еще надеюсь коллеги расписали конкретные векторы атаки на cert-manager, для утечки ca.key, очень интересно послушать
источник
14:53пожаловаться#2

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
Держите отдельно, заливайте в vault. Пусть приложение берет серты из vault. Вангую коллеги что про ca.key говорили, не захотят допиливать приложение для интеграции с vault и нормальной ротации сертов через него. Коллеги они такие
От интеграции с vault они и правда не в восторге, но в целом готовы к такому развитию событий
источник
14:53пожаловаться#3

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
Еще надеюсь коллеги расписали конкретные векторы атаки на cert-manager, для утечки ca.key, очень интересно послушать
Из того что запомнилось: - Ожидаем пока условный "под с генератором сертификатов" уедет на взломанную машину, начнёт генерить сертификаты и "вот тут мы лезем в каталог контейнера и воруем ключик"
источник
14:55пожаловаться#4

DS

Dmitry Sergeev in DevOps
Aleksey Freeman
Из того что запомнилось: - Ожидаем пока условный "под с генератором сертификатов" уедет на взломанную машину, начнёт генерить сертификаты и "вот тут мы лезем в каталог контейнера и воруем ключик"
то есть предполагается, что будет взломан воркер куба?
источник
14:56пожаловаться#5

DS

Dmitry Sergeev in DevOps
Окей, зафиксируйте cert-manager на конретной ноде, огородите его, чтобы туда другие поды не могли заехать
источник
14:57пожаловаться#6

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
то есть предполагается, что будет взломан воркер куба?
Да. Так-же предполагалось что может быть взломан кластер с etcd, но сходу рассказать как это может выглядеть мне не смогли.
источник
14:58пожаловаться#7

DS

Dmitry Sergeev in DevOps
Aleksey Freeman
Да. Так-же предполагалось что может быть взломан кластер с etcd, но сходу рассказать как это может выглядеть мне не смогли.
если у вас взломан кластер весь. и etcd в том числе, то ваша меньшая из проблем это утечка ca.key. Толку от шифрования между сервисами, если взломан весь кластер? И злоумышленник может что угодно делать? Ему этот ca.key вообще не вперся, он будет делать что ему уже надо. А не трафик перехватывать между сервисами  и сертификаты подписывать
источник
14:59пожаловаться#8

IB

Igor Boyko in DevOps
Ну я о том же)
источник
14:59пожаловаться#9

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
Окей, зафиксируйте cert-manager на конретной ноде, огородите его, чтобы туда другие поды не могли заехать
Примерно это и предложил + напихать в машины ханипотов/зеркалировать трафик в IDS
источник
14:59пожаловаться#10

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
если у вас взломан кластер весь. и etcd в том числе, то ваша меньшая из проблем это утечка ca.key. Толку от шифрования между сервисами, если взломан весь кластер? И злоумышленник может что угодно делать? Ему этот ca.key вообще не вперся, он будет делать что ему уже надо. А не трафик перехватывать между сервисами  и сертификаты подписывать
В моем представлении там мало чего можно сделать кроме как грохнуть весь кластер. Впрочем там могут и через LD_PRELOAD что-нибудь подгрузить...
Спасибо что на мысль натолкнули, подумаю над моделью угроз для etcd
источник
15:04пожаловаться#11

DS

Dmitry Sergeev in DevOps
Aleksey Freeman
В моем представлении там мало чего можно сделать кроме как грохнуть весь кластер. Впрочем там могут и через LD_PRELOAD что-нибудь подгрузить...
Спасибо что на мысль натолкнули, подумаю над моделью угроз для etcd
если есть доступ к etcd, то это полный доступ к кластеру.  Делать можно абсолютно всё
источник
15:21пожаловаться#12

AF

Aleksey Freeman in DevOps
Dmitry Sergeev
если есть доступ к etcd, то это полный доступ к кластеру.  Делать можно абсолютно всё
Понимаю, но надо разобраться насколько "абсолютно всё"
источник
15:22пожаловаться#13

DS

Dmitry Sergeev in DevOps
Aleksey Freeman
Понимаю, но надо разобраться насколько "абсолютно всё"
на абсолютно всё. Все что можно сделать под  доступом с правами cluster-admin
источник
15:26пожаловаться#14

DS

Dmitry Sergeev in DevOps
А это буквально всё
источник
15:27пожаловаться#15

AN

Arseny Nikov in DevOps
Hi all, sorry for the English. I don't know if this is appropriate on this channel but I'm looking for an experienced SRE / DevOps engineer to join one of my clients in St. Petersburg. Anyone interested?
источник
19:13пожаловаться#16

NK

Nick Kritsky in DevOps
Arseny Nikov
Hi all, sorry for the English. I don't know if this is appropriate on this channel but I'm looking for an experienced SRE / DevOps engineer to join one of my clients in St. Petersburg. Anyone interested?
@devops_jobs
источник
19:18пожаловаться#17

AN

Arseny Nikov in DevOps
Nick Kritsky
@devops_jobs
Wasn't having much luck there, thought I'd try my luck here
источник
19:21пожаловаться#18
2021 January 26

UU

Unknown Username &am... in DevOps
but use 10 seconds at least
источник
19:38пожаловаться#19

ЕО

Евгений Омельченко... in DevOps
Вот есть устойчивое выражение, описывающее смесь баша и ансибла башсибл, а есть такое же про смесь jq и bash'а? jqash?
источник
19:44пожаловаться#20