pip install cryptographyでエラー(Docker alpine) - Qiita前提 cryptographyは、manylinux wheelsを提供しています (2.0以降) ので、すべての依存関係が含まれています。 pip 19.3以上のユーザー (またはpypyを使用していない場合はPython用のヘッダー、OpenSSLおよびlibffiライブラリ用のヘッダーが必要です) が、manylinux2014 (またはそれ以上) 互換のディストリビューション上で実行されている場合、以下のように実行するだけで動作します。
Vulnerable Docker Installations Are A Playhouse for Malware Attacks
Russia-linked APT29 reused iOS and Chrome exploits previously developed by NSO Group and Intellexa | Cisco addressed a high-severity flaw in NX-OS software | Corona Mirai botnet spreads via AVTECH CCTV zero-day | Telegram CEO Pavel Durov charged in France for facilitating criminal activities | Iran-linked group APT33 adds new Tickler malware to its arsenal | U.S. CISA adds Google Chromium V8 bug t
ミクシィの大規模サービスを支えるSREとしてキャリアを積みませんか?
ミクシィの大規模サービスを支えるSREとしてキャリアを積みませんか? 株式会社MIXI @mixi I want to hear a detailed なにをやっているのか ミクシィグループは、1997年の創業以来、国内有数のSNS「mixi」やスマホアプリ「モンスターストライク」など、友人や家族といった親しい仲間と一緒に楽しむコミュニケーションサービスを提供してきました。 《主な事業領域》 【デジタルエンターテインメント】 世界累計利⽤者数5,500万⼈を突破した「モンスターストライク」や共闘ことばRPG 「コトダマン」などのサービスを展開しています。これらはコミュニケーションツールとして、親しい友人達と一緒に遊べるスマホアプリとなっているのが特長です。また、アプリの枠に留まらず、マーチャンダイジングやリアルイベントをはじめ、動画・アニメの配信、そして他社IPや異業種とのコラボレーション
Docker optimization guide: the 12 best tips to optimize Docker image security
You should always build and push images in a clean environment, e.g. a CI/CD pipeline, where the build agent clones your repository into a new directory. The problem with using your local development machine for building is that your local “working tree” of the Git repository might be dirty. For instance, it might contain files with secrets that you need during development, e.g. access keys to sta
Docker Security - OWASP Cheat Sheet Series
Docker Security Cheat Sheet¶ Introduction¶ Docker is the most popular containerization technology. When used correctly, it can enhance security compared to running applications directly on the host system. However, certain misconfigurations can reduce security levels or introduce new vulnerabilities. The aim of this cheat sheet is to provide a straightforward list of common security errors and bes
初心者のKubernetes入門(書籍 Kubernetes 実践入門の写経から学ぶ)セキュリティ編 - Qiita
背景 個人的にインフラの知識以上にこれからのアプリケーションが動く環境を作ってデプロイしたりしてこれからの知識を身に着けたい。そしてより一層、自分の知識のアップデートをしたいと思いました。 その中でこの本に出会い、これから少しずつやったことを残し、未来の自分への手紙としてもあり、見つめ直せればと思いました。 引用や参考と今回の自分の勉強用の書籍の紹介 技術評論社『Kubernetes実践入門』のサンプルコード Kubernetes実践入門 プロダクションレディなコンテナ&アプリケーションの作り方 実際の学びについて 書籍を読みながら、章ごとに少しずつ進めていきたいと思います。 GitHub のソースコードも使いながら学んで行きたいと思います。 この章の勉強は本当に書籍の写経が主になるかもしれません・・・ 勉強開始 リポジトリ https://github.com/kubernetes-pr
OpenVASによる脆弱性診断をDockerで手軽に実行する - Qiita
Webセキュリティ入門本として有名な、体系的に学ぶ 安全なwebアプリケーションの作り方(通称: 徳丸本)を読んでいて、脆弱性診断ツールとしてOpenVASというものが紹介されていました。 個人的に開発しているWebアプリの脆弱性診断に試してみたいと思い色々調べていたら、専用のDocker Imageが公開されていたのでとても手軽に実行できました。 以下にやり方などまとめていきます。 OpenVASとは プラットフォーム脆弱性診断ツールです。 OSSなので無料で利用できます。 指定したホストをリモート(外部)からスキャンし、対象ホストのOS/ソフトウェアに既知の脆弱性がないかをチェックします。 診断の実行や診断結果の閲覧はCLIでも可能ですが、Webブラウザでのインターフェースも用意されているので今回はそちらを紹介してきます。 環境 OSX
DockerとSELinux - Qiita
はじめに Dockerなどのコンテナを使っていると「SELinuxを有効にしておけ」と言われますが、 実際に起動していないとどうなのか検証してみたことと、 色々なところでも紹介されているものですが、自身のメモとして投稿しました。 今回の検証環境 VirtualBox 6.0 CentOS 7.3 Docker 19.03.05 SELinuxが無効な場合 まず、SELinuxを無効にします。 # vi /etc/selinux/config (以下にパラメータを変更) SELINUX=disabled # enforcingからdisabledに変更 # reboot ※ SELinuxの状態 Enforcing : SELinuxが有効 Permissive : SELinuxのラベリングはしているけど、無効な状態 Disabled : SELinuxが無効 再起動後、SELinuxの
EKSでの認証認可 〜aws-iam-authenticatorとIRSAのしくみ〜 - もうずっといなかぐらし
こちらはAmazon EKS #1 Advent Calendar 2019 7日目の記事です。 EKSでIAM RoleをUserAccountに紐付けたり、ServiceAccountをIAM Roleに紐付けたりする際、AWSのドキュメントに従って設定してはいるものの、その設定によって実際にどんな処理が行われているかを具体的に知らない方も多いのではないでしょうか?(私も今回の記事のために調べるまではそうでした。) そこで今回の記事では、Kubernetesの認証認可の仕組みを解説したあと、AWSのIAMの認証情報をKubernetes内のUserAccountに紐付けるaws-iam-authenticatorの動作の仕組みとKubernetesのService AccountにIAM Roleを紐づける仕組みについて設定方法のレベルから一段掘り下げて実際の動作に焦点を当てながら説明
【コンテナセキュリティてんこ盛り】クリエーションライン主催のAquaセミナーに参加してきた | DevelopersIO
先日、日比谷公園にほど近い会場でクリエーションライン株式会社様主催のAqua Securityコンテナセミナーに参加してきました。 2019年11月20日 Aqua Securityコンテナセミナー を開催します - クリエーションライン株式会社 基本は、弊社でも扱っているAqua Container Securityについての話が主だったのですが、製品仕様以外にもカカクコム様でのKubernetes運用のGitOpsの話であったり、決済サービスPaidyにおけるコンテナ運用の話であったり、最近話題のOSSな脆弱性スキャンツールのTrivyの作者、福田さんがイスラエルからオンラインセミナーやったり、コンテナ界隈の幅広い話題がてんこ盛りで、楽しい一日でした。 ここでは、そんな一日の内容を紹介します。 (祭) ∧ ∧ Y ( ゚Д゚) Φ[_ソ__y_l〉 コンテナセキュリティーマツ
Docker、これまでで最も深刻な cp コマンドの脆弱性CVE-2019-14271を修正
This post is also available in: English (英語) 概要 ここ数年、Docker、Podman、Kubernetesを含むさまざまなコンテナプラットフォームで、copyコマンド(cp)の脆弱性が複数確認されてきました。それらの中で最も深刻なものはこの7月というごく最近発見・開示されたものです。驚くべきことに、CVEの説明内容があいまいだったこと、公開されたエクスプロイトがなかったことなどの理由から、本脆弱性は公開直後にはほとんど注意を引きませんでした。 しかしながら、CVE-2019-14271が攻撃者に悪用された場合、Dockerの実装するcpコマンドは、完全なコンテナブレイクアウトにつながりうるセキュリティ上の問題を引き起こします。この脆弱性は、2月に発見されたrunC脆弱性以降で初めての完全なコンテナブレイクアウトです。 この脆弱性が悪用されるに
コンテナ・セキュリティ入門 脆弱性 - Qiita
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
JupyterHubにSSOを導入してみた | DevelopersIO
コンニチハ、千葉です。 JupyterHubを利用すると、JupyterNotebook環境にログイン機能が追加され、マルチユーザーで利用できるようになります。 今回はJupyterHubの oauthenticator を使ってSSOを実装してみます。oauthenticatorを利用することでGitHub、Google、GitLabなどと連携できるようになります。 ということで、検証してみました。 構成イメージ 今回試してみたのはこんな構成です。JupyterHubへログインすると、AWS上のGitLabにリダイレクトしSSO連携します。 ローカル環境 Docker for Mac(kubernetes) Helmを使いJupyterHubをインストール AWS環境 ACMを使いELBのリスナーをHTTPSで設定 EC2上にDockerをインストールし、GitLabを立ち上げる はじめ
急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog
こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発生して通信ができなくなってしまいました。 OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=error: dh key too small) それも、本番環境でのみ発生します。 始めはこのエラーについてよく理解しておらず、 http.verify_mode = OpenSSL::SSL::VERIFY_NONE を指定してみたり、 apt install ca-certificate
Prometheusで本番環境の監視をして3か月経ちました - WILLGATE TECH BLOG
本番環境の監視をZABBIXからPrometheusに切り替えてから3か月程度経過しました。 今回は Prometheus 導入に関してハマったところ 現在のPrometheus活用状況 といった所を紹介したいと思います。 「Prometheusって何?」という方はこちらをご覧ください。 tech.willgate.co.jp Prometheus導入でハマったところ メール送信設定 Rプロキシ経由にする 現在のPrometheus活用状況 現在の構成 ECインスタンスの監視 設定のバージョン管理 種類豊富なexporter 柔軟なPromQL Grafanaとの組み合わせ まとめ その後の取り組み(2019/11/12 追記) Prometheus導入でハマったところ 紹介するところ以外でも色んなところでハマったのですが、代表的なところを紹介します。 メール送信設定 Alertmanag
「Kubernetes」のCLIツールに脆弱性--攻撃者がホストマシンでコードを実行可能
Catalin Cimpanu (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ) 2019-06-27 14:27 「Kubernetes」プロジェクトは米国時間6月26日、危険なセキュリティ脆弱性を修正した。巧妙なハッキングによって、攻撃者がホストマシン上でコードを実行できてしまう脆弱性だ。 脆弱性はKubernetesシステム自体ではなく、Kubernetesを操作するための公式コマンドラインユーティリティ「kubectl」に影響する。 セキュリティ研究者らは、コンテナからユーザーのホストマシンへファイルを転送するために利用される「kubectl cp」(コピー)操作にセキュリティ脆弱性があることを発見した。 ハッカーは「コピー」操作を通じてコードを実行可能 Kubernetes製品セキュリティ委員会のメンバーであるJoel Smith氏は、次のように述べている。
人を震えさせるツール「Dockle」の仕組みを解説〜Dockerセキュリティの基礎知識も一緒に - Qiita
はじめに 「3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと」で告知したVuls祭り #5で、コンテナのセキュリティについてお話ししました。 しかし15分程度の時間だと、説明不足な点もあったので、資料を修正しつつ、補足コメントを入れました。 パートごとにタイトルを付けたので、Qiitaの目次を参考にするとわかりやすいと思います。Dockerイメージの簡単な説明 & Dockle内部でやっていることの解説 が本記事のメインパートです。 参考になったら、Vuls/Dockle/Trivyのスターお願いします! 特にDockleは後発でスター数が少なく、まずはスター1Kを目指してます。 Vuls Dockle Trivy なお、タイトルの元ネタはこちらです。震えてくださってありがとうございます。 @nagashi_ma_w 2019.6.20: いくつかスライドを削除し、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Starboard: The Kubernetes-Native Toolkit for Unifying Security
https://jp.techcrunch.com/2019/12/05/2019-12-04-gitguardian-raises-12m-to-help-developers-write-more-secure-code-and-fixgithub-leaks/
Spring Cloud Hoxton.RC1 Released