forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes, opennews (?), 06-Ноя-23, (0) [смотреть все]

Красиво Ждём новых утечек из облачков Особенно там, где любят nginx , Tron is Whistling (?), 09:26 , 06-Ноя-23, (1) //

Облака хмурые ожидаются обильные дожди из данных , Аноним (3), 09:37 , 06-Ноя-23, (3) +1 //

Темна вода во облацех , Аноним (14), 13:18 , 06-Ноя-23, (14) +2

Но сначала ждём ingress-angie, Самый умный из вас (?), 09:50 , 06-Ноя-23, (4) –2 //

Есть ингресс Контур Это более посконно, чем какой-то там angie , Аноним (14), 11:51 , 06-Ноя-23, (6) +1

Это где такие Держать nginx с modsecurity и скриптами на lua, которые позволяют , Аноним (14), 11:50 , 06-Ноя-23, (5) +3 //

А, понятно По ссылке - типовой наброс от F5 разработчика конкурирующего ингрес, Аноним (14), 11:55 , 06-Ноя-23, (7) +1 //

Ну хочешь пользоваться дырявой версией, только чтоб не кормить F5 - пользуйся ды, похнапоха. (?), 12:12 , 06-Ноя-23, (8) –5

да откуда такой уродец возьмется И как он работать будет, это ж п-ц тормоз Ска, пох. (?), 12:35 , 06-Ноя-23, (9) –3 //

Иногда лучше жевать, чем говорить ingress-nginx - и есть тот уродец с modsecurit, Аноним (14), 13:16 , 06-Ноя-23, (13) +1

оно не включено ж пока сам не попросишь выключеном , пох. (?), 13:53 , 06-Ноя-23, (15)
сподвигся все ж глянуть исходники - не, enable-modsecurity надо вручную включить, пох. (?), 17:19 , 06-Ноя-23, (22)

Это Apisix называется Хорошая штука Кастомный ингресс-контроллер от вендора обы, rmh (?), 14:06 , 06-Ноя-23, (17) //

Да и Kong-gateway - это тот же nginx обмазанный lua-скриптами, Аноним (28), 07:26 , 08-Ноя-23, (28)

Скрыто модератором, Аноним (3), 09:34 , 06-Ноя-23, (2) –4 //

Скрыто модератором, пох. (?), 12:38 , 06-Ноя-23, (10)

самая важная фраза написана в конце Для осуществления атаки злоумышленник долже, Аноним (11), 12:49 , 06-Ноя-23, (11) +5 //

позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ем, пох. (?), 13:57 , 06-Ноя-23, (16) +1 //

если такой бардак в организации и лайфциклах учеток проектов, то тут ничего не с, A7exius (?), 14:19 , 06-Ноя-23, (18) +3 //

ну у тебя-то в подвальчике конечно нет бардака , пох. (?), 14:55 , 06-Ноя-23, (19) –1

ничего, девляпс и прод на разных куберах поставят , Sw00p aka Jerom (?), 15:26 , 06-Ноя-23, (20)

unreal жеж - cocococontinuous desintegration жеж или как там ее разные куски п, пох. (?), 16:03 , 06-Ноя-23, (21)

Это верно для обычных легаси инфраструктур, которые так любят специалисты в с, Легивон (?), 11:46 , 07-Ноя-23, (25) //

Пользуешься ансиблом и тратишь время на то, что называется non-differentiating w, Аноним (27), 20:08 , 07-Ноя-23, (27) +1

чатыре прожекта и куча ансибельного мусора присыпанного тераформом это такой, пох. (?), 20:36 , 08-Ноя-23, (30)

А что хороший прод по твоему Инструкция как правильно делать мышковозюк из 500 , Легивон (?), 17:18 , 09-Ноя-23, (33)

Ты, дядя, давай посуществу и без общих фраз Чем мой запуск ансибла тераформ пр, Легивон (?), 17:30 , 09-Ноя-23, (35)

а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд облачка, пох. (?), 20:34 , 08-Ноя-23, (29)

Если не использовать aws и или православные духоскрепные селектелы , а вместо н, Легивон (?), 17:21 , 09-Ноя-23, (34)

Сообщения [Сортировка по времени | RSS]

16. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от пох. (?), 06-Ноя-23, 13:57

> самая важная фраза написана в конце:
> "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта"
позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass!
А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +3 +/–

Сообщение от A7exius (?), 06-Ноя-23, 14:19

если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." –1 +/–

Сообщение от пох. (?), 06-Ноя-23, 14:55

ну у тебя-то в подвальчике конечно нет бардака.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26

ничего, девляпс и прод на разных куберах поставят :)

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 06-Ноя-23, 16:03

unreal жеж - cocococontinuous desintegration жеж (или как там ее?)
разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 07-Ноя-23, 11:46

>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках".
В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона.
Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

27. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +1 +/–

Сообщение от Аноним (27), 07-Ноя-23, 20:08

> ЧЯДН?
Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 08-Ноя-23, 20:36

> То, что тебе этим в проде приходится заниматься весьма печально.
"чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:18

А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:30

Ты, дядя, давай посуществу и без общих фраз.
Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от пох. (?), 08-Ноя-23, 20:34

> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и
> катанул.
а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка.
Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..." +/–

Сообщение от Легивон (?), 09-Ноя-23, 17:21

Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	16. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от пох. (?), 06-Ноя-23, 13:57
	> самая важная фраза написана в конце: > "Для осуществления атаки злоумышленник должен иметь доступ к конфигурации ingress-объекта" позвал аутсорсера пилить какой-нибудь очень нужный и полезный вебчяяятик, дал ему отдельное пространство, поскольку оно никак вообще не связано с основным сервисом, и забыл про него. А оно - вот... тем более что аутсорсер тоже модный парниша и все свои наработки держит на гитхапе и гитляпе, прям с токенами и паролями от всей инфраструктуры, инфраструктурка жеж in cococode, my ass! А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+3 +/–
	Сообщение от A7exius (?), 06-Ноя-23, 14:19
	если такой бардак в организации и лайфциклах учеток\проектов, то тут ничего не спасёт, рано или поздно придется огребать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	–1 +/–
	Сообщение от пох. (?), 06-Ноя-23, 14:55
	ну у тебя-то в подвальчике конечно нет бардака.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Sw00p aka Jerom (?), 06-Ноя-23, 15:26
	ничего, девляпс и прод на разных куберах поставят :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 06-Ноя-23, 16:03
	unreal жеж - cocococontinuous desintegration жеж (или как там ее?) разные куски прода в разных кластерах - только потому что изоляция, которая вообще говоря предусмотрена и именно для этого и неймспейсы - как обычно не изоляция? Ну оооок, давайте не будем им мешать и просто понаблюдаем за ними. Только гуаноупорный плащик поправьте и капюшончик пониже надвиньте, а то сейчас ваше недоверие лопнет и забрызгает вот... меня и товарищей прессу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 07-Ноя-23, 11:46
	>А независимый кластер каждому васяну с чятиком не только лишь все могут себе позволить. Это верно... для обычных легаси инфраструктур, которые так любят специалисты в свитере с оленем с сальными волосами и кусками вчеравшей недоеденой еды в слипшейся бороде (впрочем возможно это и не еда). И их можно понять, ведь это и правда трудно пройтись руками/мышковазюком и безошибочно воссоздать штук 200 сущностей во всевозможных консольках и "оснастках". В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и катанул. И поверх этого еще катанул ансиблом kubespray, так же практически без изменений от базового шаблона. Я именно так и катаю, только у меня шаблоны тераформа генерируются из ансибла, а помимо kubespray ансиблом качу еще базовые k8s сервисы: ingress, prometheus, vector. У меня 4 проекта и 10 кластеров (и это еще мало, просто на все не хватает времени, вот например собираюсь для безопасности вынести все задачи сборки образов в отдельный кластер с kata containers, чтобы не пересекаться с инфраструктурой на которой люди могут выполнять код). ЧЯДН?
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	27. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+1 +/–
	Сообщение от Аноним (27), 07-Ноя-23, 20:08
	> ЧЯДН? Пользуешься ансиблом и тратишь время на то, что называется non-differentiating work. Создание k8s кластера — это пара вызовов API, скучно до зевоты. Городить ради этого какую-то кодогенерацию на, прямо скажем, весьма убогом инструментарии типа ансибла — занятие для операторов высоконагруженных локалхостов. То, что тебе этим в проде приходится заниматься весьма печально.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 08-Ноя-23, 20:36
	> То, что тебе этим в проде приходится заниматься весьма печально. "чатыре прожекта" (и куча ансибельного мусора присыпанного тераформом) это такой себе, знаешь, "прод".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:18
	А что хороший прод по твоему? Инструкция как правильно делать мышковозюк из 500 шагов?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:30
	Ты, дядя, давай посуществу и без общих фраз. Чем мой запуск ансибла + тераформ принципиально отличается от запуска eks cli (Или че ты там запускаешь. Давно этой оверпрайснутой помоечкой не пользовался. Помню года 4 назад, голый БЕЗ НОД eks кластер стоил 200$ в месяц. А в хецнере за такие деньги можно было взять 3 машины уровня 8 ядер / 16 гигов). Это считай такое же дергание 2 "апишек". Что не так то? АПИшка не проприетарная и не вендорлокнутая? Плохо что я не плачу твоему господину Безосу?
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	29. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от пох. (?), 08-Ноя-23, 20:34
	> В девопс же мире все просто. Надо кластер - взял готовые тераформ шаблоны, подставил хостнеймы и > катанул. а лишние ресурсы для всего б-ского цирка - при этом возьмутся из возд... облачка. Ну ок. Только учти что когда-то кто-то может и проверить счета от aws.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	34. "Уязвимости в ingress-nginx, позволяющие скомпрометировать кл..."	+/–
	Сообщение от Легивон (?), 09-Ноя-23, 17:21
	Если не использовать aws и/или православные духоскрепные "селектелы", а вместо них использовать собственное железо - то ресурсы не дорогие.
	Ответить \| Правка \| Наверх \| Cообщить модератору