Архив рубрики: Security

Безопасность операционных систем и сетей.

Let’s Encrypt: SSL и ошибка SERVFAIL looking up CAA for domain.com
0 (0)

29 июля 2021

Отвалился один из сайтов, начал падать с ошибкой Connection reset. По конфигам NGINX всё хорошо, должен работать. В логах ошибок NGINX тоже пусто, конфиги PHP-FPM правильные. Проверяем curl-ом: [simterm] $ curl -Iv https://example.setevoy.org.ua/ * Trying 139.59.205.180:443… * Connected to example.setevoy.org.ua (139.59.205.180) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set… Читать далее »

Loading

AWS: Route53 Private Hosted Zones — прячем домены от мира
0 (0)

23 июля 2021

Private Hosted Zone в AWS Route53 позволяет ограничить доступ к DNS-записям домена, таким образом оградив её от атак типа DNS Enumeration, или DNS brute-force, когда атакующий перебирает доступные записи домена, после чего получает список ендпоинтов для проверок на уязвимости. Для подобных переборов существует множество готовых решения, например DNSEnum, DNSRecon, Fierce или даже обычный Nmap и… Читать далее »

Loading

AWS: WAF WebACL логи и Logz.io
0 (0)

21 июля 2021

Продолжаем разбираться с AWS WAF. В посте AWS: обзор и настройка Web Application Firewall и его мониторинга ознакомились с основными компонентами, настроили ACL и Rules, подключили базовый мониторинг. Там же настроили сбор логов WAF в AWS Kinesis, теперь хочется их увидеть в Logz.io, пока недоступен CloudWatch Logs. В этом посте ещё раз настроим отправку логов… Читать далее »

Loading

AWS: обзор и настройка Web Application Firewall и его мониторинга
0 (0)

16 июля 2021

AWS WAF (Web Application Firewall) — сервис Amazon, выполняющий мониторинг HTTP(S) трафика, проверяя запросы, которые приходят к защищаемому приложению. Может быть подключен к AWS Application LoadBalancer, AWS CloudFront дистрибьюции, Amazon API Gateway и AWS AppSync GraphQL API. В случае обнаружения запросов, попадающих под список правил блокировки и/или IP-адреса из списка запрещённых или имеющих плохую репутацию… Читать далее »

Loading

AWS: CloudTrail — обзор и интеграция с CloudWatch и Opsgenie
0 (0)

16 июня 2021

AWS CloudTrail явлется сервисом для аудита событий в AWS-аккаунте и включен в каждом аккаунте по-умолчанию. В него записываются события обо всех событиях в аккаунте, которые были сделаны пользователем, ролью или сервисом AWS через AWS Console, AWS CLI или AWS SDK. Записывает API-вызовы, логины в систему, события сервисов и является незаменимым инструментом для обеспечения безопасности AWS-аккаунта.… Читать далее »

Loading

ArgoCD: интеграция с Okta и группы пользователей
0 (0)

14 мая 2021

В предыдущем посте ArgoCD: пользователи, доступы и RBAC разобрались с пользователями и RBAC в целом, теперь настроим ArgoCD SSO. Идея заключается в том, что мы не заводим локальных пользователей в ArgoCD, а используем базу Okta, и она же выполняет их аутентификацию. На стороне же ArgoCD мы будем выполнять авторизацию, т.е. проверять уровни доступа. Плюс, используя… Читать далее »

Loading

ArgoCD: пользователи, доступы и RBAC
0 (0)

13 мая 2021

ArgoCD использует два типа пользователей — локальные, заданные в argocd-cm ConfigMap, и SSO. Ниже рассмотрим работу с локальными пользователями, а позже добавим SSO и группы, так как для локальных пользователей нельзя создавать группы, см. Local users/accounts. Разделение доступов выполняется с помощью ролей, которым подключаются политики, описывающие к чему есть доступ, и на какие операции. При… Читать далее »

Loading

ArgoCD: деплой Helm-чарта и работа с Helm Secrets через AWS KMS
0 (0)

21 ноября 2020

В предыдущем посте ArgoCD: обзор, запуск, настройка SSL, деплой приложения потрогали ArgoCD, запустили тестовый инстанс, и задеплоили приложение из его готовых примеров. Но наша цель — деплоить наши Helm-чарты, а потому посмотрим, как это можно сделать. Самое интересное ожидаемо коснулось работы с Helm secrets. Пришлось покостылить, но в результате всё заработало так, как и ожидалось.… Читать далее »

Loading

Kubernetes: ServiceAccounts, JWT-токены, аутентификация и RBAC-авторизация
0 (0)

17 ноября 2020

Для аутентицикации и авторизации в Kubernetes имеются такие понятия как User Accounts и Service Accounts. User Accounts — профили обычных пользователей, используемые для доступа к клатеру снаружи кластера, тогда как Service Accounts используются для аутентификации сервисов внутри кластера. ServiceAccounts предназначены для предоставления идентификатора, используя который Kubernetes Pod, а точнее контейнер(ы) в нём, могут быть аутенифицированы… Читать далее »

Loading

Git: git clone — fatal: unable to fork и RSA key fingerprint
0 (0)

23 октября 2020

Имеется Docker-образ с установленным Git. Задача — во время запуска контейнера склонировать в него репозиторий. git clone — fatal: unable to fork Во время попытки выполнения git clone в Docker-контейнере — получаем ошибку «unable to fork«: [simterm] / # git clone [email protected]:projectname/backend-services.git Cloning into ‘backend-services’… fatal: unable to fork [/simterm] Причина — тут git для… Читать далее »

Loading