Kubernetes Security Training Platform - Focussing on security mitigation

Симулятор распределенных систем и инфраструктуры для атак и отладки Kubernetes: симулятор создает для вас кластер Kubernetes в вашем аккаунте AWS; запускает сценарии, которые неправильно конфигурируют его и/или делают уязвимым для компрометации, и обучает вас способам устранения этих уязвимостей.

https://github.com/kubernetes-simulator/simulator

👉 @sysadminof

systemD с 0 до 1: библия сисадмина

Что бы кто не говорил, systemD становится стандартом систем инициализацией в линуксе. И с 80% вероятностью все сервера будут с systemD. Не факт, конечно, есть и личные сервера, на которых может стоять хоть Gentoo, хоть Devuan, хоть NixOS.

Некоторые дистрибутивы хотят даже перейти с загрузчика Grub на systemd-boot! Потому знать, как работать с данной системой инициализации, должен каждый сисадмин и просто программист, ибо сейчас он практически везде.

В этой статье мы разберем — создание сервисов и юнитов, как облегчить работу при помощи systemd, отслеживать состояние системы и управлять ей.

А также напишем небольшой скрипт на Python для автомизации некоторых задач. Приятного чтения, господа линуксоиды и просто пользователи!

https://habr.com/ru/companies/timeweb/articles/824146/

👉 @sysadminof

Примеры скриптов для Mikrotik


Проверка изменения IP-адреса интерфейса для Mikrotik

Иногда провайдер выдает динамические IP-адреса. Этот скрипт проверит, не изменился ли динамический IP-адрес.

:global currentIP;

:local newIP [/ip address get [find interface="ether1"] address];

:if ($newIP != $currentIP) do={
    :put "ip address $currentIP changed to $newIP";
    :set currentIP $newIP;
}

Netmask

Этот скрипт полезен, если вам нужен ip-адрес без netmask (например, чтобы использовать его в брандмауэре), а "/ip address get [id] address" возвращает ip-адрес и netmask.

:global ipaddress 10.1.101.1/24

:for i from=( [:len $ipaddress] - 1) to=0 do={ 
 :if ( [:pick $ipaddress $i] = "/") do={ 
  :put [:pick $ipaddress 0 $i]
 } 
}

Резолвим имя хоста

Многие пользователи спрашивают, как использовать dns-имена вместо IP-адресов для серверов radius, правил брандмауэра и т. д.

Вот пример того, как резовлить IP-адрес сервера RADIUS.
Допустим, у нас настроен сервер radius:

/radius 
add address=3.4.5.6 comment=myRad

А вот скрипт, который резовлит ip-адрес, сравнит ip с настроенным и заменит, если они не равны:

/system script add name="resolver" source= {

:local resolvedIP [:resolve "server.example.com"];
:local radiusID [/radius find comment="myRad"];
:local currentIP [/radius get $radiusID address];

:if ($resolvedIP != $currentIP) do={
   /radius set $radiusID address=$resolvedIP;
   /log info "radius ip updated";
}

}

Добавьте этот скрипт в планировщик, чтобы он выполнялся, например, каждые 5 минут

/system scheduler add name=resolveRadiusIP on-event="resolver" interval=5m

👉 @sysadminof

А что вместо MS Exchange?

27 августа на митапе по отечественным почтовым решениям собираются ИТ-руководители и СТО, архитекторы и администраторы инфры, чтобы обсудить, как работают российские аналоги зарубежных сервисов. Вести митап будут инженеры «Инфосистемы Джет», которые эти решения не просто тестировали, а реально разобрали по кирпичикам.

🔹 Покажут архитектуру и функционал RuPost, VK WorkMail и CommuniGate Pro
🔹 Расскажут, с чем придется столкнуться при развертывании и эксплуатации
🔹 Поделятся опытом: что эти системы умеют, а что пока нет
🔹 Покажут демо с обеих сторон: и пользовательский интерфейс, и админку

Когда: 27 августа, 16:30

Формат: онлайн и офлайн — выбирайте удобный и регистрируйтесь с коллегами.

Инструменты, которые можно использовать для определения производительности Linux.

Наиболее распространенные:
top
htop
iostat
vmstat
sar
netstat
tcpdump
strace
lsof
perf

👉 @sysadminof

CCNA Routing & Switching Packet Tracer Labs

001: Basic Router Security Configuration 1
002: Basic Router Security Configuration 2
003: Basic Router Security Configuration 3
004: Basic Serial Connection Configuration
005: VLAN Configuration
006: VLAN Configuration: Trunk Encapsulation
007: Inter-VLAN Routing (Router on a Stick)
008: Inter-VLAN Routing (Router on a Stick) - Troubleshooting 1
009: Inter-VLAN Routing (Router on a Stick) - Troubleshooting 2
010: Local Username/Password Database


На данный момент доступно 76 видео

https://www.youtube.com/playlist?list=PLxbwE86jKRgMQ4HTuaJ7yQgA2BoNwY9ct

👉 @sysadminof

Бесплатный урок по Apache Kafka⭐️

Учим работать с реальными исходными данными, а не на теоретических примерах.

✅Расскажем про язык Кафки: топики, партиции, продюсеры-консьюмеры, кластер, ноды. 

✅Рассмотрим: как работают очереди сообщений, сколько должно быть консьюмеров для эффективной вычитки, как повысить надёжность кластера с помощью репликации данных.

✅Покажем, как развернуть кластер Кафки на своём ПК с 3 нодами, schema-registry и авторизацией.

Обычно в инструкциях кластер из 1 ноды, зукипера и 1 брокера, но это не наш путь, смотрим сразу на практике.

Забрать урок👉🏻в боте

Vex

Автономный анализатор конфигурации RouterOS для поиска проблем безопасности. Не требует подключения к сети, только чтение конфигураций.

Инструмент предназначен исключительно для анализа безопасности оборудования RouterOS. Автор не несет ответственности за любой ущерб, причиненный использованием данного инструмента

Vex выполняет 23 этапа поиска, среди которых:

1. Discovery Protocols Check: Checks whether discovery protocols (such as LLDP) are enabled on all interfaces;
2. Bandwidth Server Check: Checks whether the Bandwidth Server is enabled;
3. DNS Settings Check: Checks whether remote DNS queries are allowed;
4. DDNS Settings Check: Checks whether Dynamic Domain Name System (DDNS) is enabled;
5. UPnP Settings Check: Checks if UPnP (Universal Plug and Play) is enabled;
6. SSH Settings Check: Checks whether cryptographic settings for SSH are enabled;
7. Firewall Filter Rules Check: Retrieves and displays firewall filter rules;
8. Firewall Mangle Rules Check: Retrieves and displays firewall mangle rules;
9. Firewall NAT Rules Check: Retrieves and displays firewall NAT rules;
10. Firewall Raw Rules Check: Retrieves and displays Raw firewall rules;
11. Routes Check: Retrieves and displays routes;
12. SOCKS Settings Check: Checks if the SOCKS proxy is enabled;
13. IP Services Check: Checks the status of various IP services (Telnet, FTP, API, API-SSL, SSH, Winbox, HTTP, HTTPS);
14. BPDU Guard Settings Check: Checks the BPDU Guard settings for STP protection;
15. ROMON Settings Check: Checks if ROMON is enabled;
16. MAC Telnet Server Check: Checks the MAC Telnet Server settings;
17. MAC Winbox Server Check: Checks the MAC Winbox Server settings;
18. MAC Ping Server Check: Checks the MAC Ping Server settings;
19. DHCP Snooping Settings Check: Checks the DHCP Snooping settings to protect against DHCP attacks;
20. NTP Client Settings Check: Checks the NTP client settings;
21. VRRP Security Check: Checks the VRRP authentication settings;
22. OSPF Security Check: Checks OSPF settings for authentication and passive interfaces;
23. SNMP Security Check: Checks SNMP community settings for insecure values;

https://github.com/casterbyte/Vex

👉 @sysadminof

🚀💪 Как администратору Linux выйти на уровень Middle+?

👉 Приобрести необходимые навыки под руководством топовых экспертов из ведущих российских и международных компаний на онлайн-курсе «Administrator Linux. Professional» от OTUS.

⚠️ Программа идеально подойдет для системных администраторов Linux и Windows, DevOps-инженеров и SRE, Fullstack и Backend-разработчиков, сетевых и инженеров по нагрузочному тестированию, а также для специалистов по ИБ.

💪 Вы на профессиональном уровне изучите подбор конфигураций, управление процессами, обеспечение безопасности, развертывание, настройку и обслуживание сетей, что позволит вам претендовать на вакантные должности в крупных компаниях.

🎁 За успешное прохождение вступительного тестирования на странице курса вам откроется доступ к записям вебинаров от экспертов курса.

👉 Пройти вступительный тест https://vk.cc/cOTsgy

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Работает — не трогай!

👉 @sysadminof

Шпаргалка по tmux

👉 @sysadminof

🇷🇺 100% российская разработка

INFRAX — платформа all-in-one для управления ИТ-инфраструктурой:

✅ Мониторинг инфраструктуры (ITOM)
✅ Удаленный доступ для сотрудников и привилегированных пользователей
✅ Обработка заявок пользователей (ServiceDesk)
✅ База знаний с разграничением доступа к категориям (публичные и закрытые)
✅ Автоматизация (скрипты и планировщик)
✅ Контроль привилегированных пользователей. Видеозапись сессий RDP/SSH/VNC. (PAM)
✅ Управление доступами. Доступ ко всем корпоративным сервисам через одну учетку (IAM)

БЕСПЛАТНО до 100 пользователей! 🎁

👉 Попробовать INFRAX

Реклама. ООО «АУДИТ-ТЕЛЕКОМ», ОГРН 1167746696776, erid: 2Vtzqv8Ag74

Полезные команды Linux. Получение различной информации о системе.

# arch
Вывести на экран архитектуру компьютера
# uname -m
Так-же выводит архитектуру компьютера
# cal 2010
Печатает календарь на 2010 год. Без аргументов выводит календарь на текущий месяц
# cat /proc/cpuinfo
Вывести подробную информацию о процессоре
# cat /proc/interrupts
Вывести информацию о прерываниях
# cat /proc/meminfo
Выводит статистику использования памяти
# cat /proc/swaps
Вывести информацию о swap файле(ах) ( файл подкачки )
# cat /proc/version
Вывести информацию о версии текущего ядра
# cat /proc/net/dev
Вывести информацию и статистику по сетевым устройствам
# cat /proc/mounts
Показать смонтированные файловые системы
# clock -w
Записать текущую системную дату в BIOS
# date
Вывести текущую системную дату и время
# date 041217002007.00
Установить дату и время в значение МесяцДеньЧасМинутаГод.Секунда
# dmidecode -q
Вывести в читабельном виде информацию по аппаратному оборудованию системы (SMBIOS / DMI)
# hdparm -i /dev/hda
Вывести характеристики жесткого диска
# hdparm -tT /dev/sda
Измерять скорость чтения данных с жесткого диска
# lspci -tv
Вывести список устройств на шине PCI
# lsusb -tv
Вывести список устройств на USB шине
# uname -r
Вывести версию используемого ядра

👉 @sysadminof

BunkerWeb

Это брандмауэр веб-приложений (WAF) нового поколения с открытым исходным кодом.

Будучи полнофункциональным веб-сервером (на базе NGINX под капотом), он защитит ваши веб-сервисы, сделав их "безопасными по умолчанию". BunkerWeb легко интегрируется в существующие среды (Linux, Docker, Swarm, Kubernetes, ...) и полностью настраивается (без проблем, есть потрясающий веб-интерфейс, если вам не нравится CLI), чтобы соответствовать вашим собственным сценариям использования. Другими словами, кибербезопасность больше не является проблемой.

https://github.com/bunkerity/bunkerweb

👉 @sysadminof