allesnurgecloud #45 – Frozen Zone, GoDaddy Leak, GitOps Standard, GitLab 14.5 und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

„Frozen Zone“ an Weihnachten sinnvoll?

Im verlinkten Artikel beschreibt Robert Ross, warum ein „Code Freeze“ über die Ferien & Feiertage für ihn keinen Sinn macht.
Laut seiner Erfahrung verschiebt man die Incidents dann nur, und wäre dann zum Teil unvorbereitet. In seinen Worten schreibt er dazu:

The truth is, incidents are inevitable. Code freezes ultimately do not lead to a decrease in incidents but will shift the incidents that you do have to unexpected places. Sometimes these incidents are so hard to diagnose that it will take longer to resolve them, and no one likes interruptions during a delicious turkey dinner.

Es sei daher sogar schwieriger, solche Incidents zu beheben, da sie einen unvorbereitet treffen. Ein „Turkey Dinner“ gibt es bei uns zwar nicht, aber wer will über die Feiertage oder an Sylvester schon von einer nervigen Telefonstimme geweckt werden?
Robert beschreibt an 2 Beispielen, warum eine längere Deployment Auszeit problematisch sein kann:

  1. Memory Probleme aufgrund nicht neu gestarteter Datenbank / Rails Application
  2. Deployment Stau aufgrund Code Freeze erzeugt Releases mit hohem Änderungsvolumen

Bei Fall 1) habe ich keine Sympathie – es ist gut, wenn sowas auffällt, und wenn es am 31.12 um 23:55 passiert. Dafür tritt es dann auch sonst nicht mehr auf, wenn man das Problem an der Wurzel anpackt – und das sollte man.
Bei Beispiel 2) bin ich total bei ihm. Man sollte das Änderungsvolumen immer so klein wie möglich halten, so häufig wie möglich Docker Images aktualisieren, Abhängigkeiten in NodeJS hochziehen, Systeme patchen und neu starten.
Ein Ex-Kollege beschrieb das mal in einer Präsentation so: „Deploy 8 times a day – keeps the pain away“.

Wie sieht das bei euch aus? Habt ihr einen längeren Code/Deployment Freeze über Weihnachten?

Avoid frostbite: Stop doing code freezes

GoDaddy – 1,2 Millionen Plaintext Passwörter im Umlauf

Da ist es mal wieder passiert, und das in 2021. Laut einem Eintrag bei der SEC hat sich ein Angreifer am 6. September 2021 über ein kompromittiertes Passwort Zugang zum „Legacy Code“ von GoDaddys‘ „Managed WordPress“ Service verschafft.
Er/Sie hat dabei folgende Daten erbeutet:

  • über 1,2 Millionen Daten von Nutzerdaten (E-Mail, Namen) von aktiven und inaktiven GoDaddy Kunden
  • Das ursprüngliche WordPress Admin Kennwort – vermutlich auf einer Vielzahl Seiten noch in Benutzung
  • Für aktive Kunden: sFTP und Datenbank Zugangsdaten inkl. Plain Text Passwörtern
  • Für eine geringere Anzahl Kunden. SSL private Keys.

Plaintext Passwörter, im Jahre 2021 – Hallo technische Schulden!
GoDaddy hat sämtliche Zugangsdaten mittlerweile geändert – leider kam das alles etwas zu spät.
Die gleiche Management Software für WordPress wurde auch an andere Kunden ausgeliefert – unter anderem an „Domain Factory“ und „Host Europe“ (Quelle: wordfence.com).
Laut einem Foren-Eintrag bei domainFactory betrifft die Lücke eine „kleine Anzahl aktiver und inaktiver Managed WordPress Nutzer“.
Habt ihr in einer älteren Applikation noch Plaintext Passwörter, oder verwendet mittlerweile veraltete hash Funktionen? Bitte seid mit dieser „technischen Schuld“ transparent und fixed sie.

GoDaddy Breached – Plaintext Passwords – 1.2M Affected

Anzeige

Hier könnte Deine Werbung stehen

Du möchtest deine Firma, angebotene Dienstleistungen & Services, dein SaaS Produkt gerne hier im Newsletter vorstellen?
Oder eine Job Anzeige schalten?
Erreiche über 300 IT Geeks, Manager und Cloud Enthusiasten direkt per E-Mai
Antworte mir einfach auf diesen Newsletter – danke.

CNCF arbeitet an „GitOps“ Standard

Die Cloud Native Computing Foundation (CNCF) plant einen gemeinsamen Standard für „GitOps“. Eine Arbeitsgruppe aus Mitarbeitern von GitHub, Microsoft, RedHat , Weaveworks und anderen arbeiten an abgestimmten Spezifikationen zum Thema „GitOps“.

A lot of people think that they’re doing GitOps because they’re using git and they’re doing pull requests and pushing changes out,…
We want the community to start to see that GitOps is not just CI/CD with git. There is a lot more

beschreibt Leandro Murillo die aktuelle Situation. Zusammenfassend möchte man diese 4 Standards verankern:

  1. Declarative: Man beschreibt einen Zustand, und nicht die Instruktionen dahin – der Zustand soll deklarativ festgehalten werden
  2. Versioniert und Immutable: Die Zustandsbeschreibung ist unveränderlich und es gibt eine komplette Historie zu Zustandsänderungen
  3. Pulled Automatically: Agenten & Runner ziehen sich den gewünschten Zustands aus einem Repository automatisch
  4. Continuously Reconciled: Die Agenten & runner überwachen den Zustand und stellen den gewünschten Zustand immer automatisch her

Ein einmaliger Ansible Lauf über einen Host fällt somit nicht unter GitOps – wenn er nicht permanent von einem Runner sichergestellt wird. Das GitOps Modell soll in Zukunft für alle möglichen Umgebungen gültig sein, nicht nur für einzelne Applikationen, sondern für komplette Umgebungen.

Aktuell arbeitet die Arbeitsgruppe an komplexeren Themen und Day-2 Operations wie Sicherheitsvorfälle oder die kurzfristige Behebung von Incidents.

CNCF Working Group Sets Some Standards for ‘GitOps’

Manager – Treiber der „Great Resignation“ Welle?

Über die „Great Resignation“ in den USA gibt es viele Belege – Mitarbeiter verlassen die Unternehmen in Covid Zeiten noch schneller als früher – und heuern „remote“ bei anderen Unternehmen an.
Benjamin Wann beschreibt im verlinkten Artikel Manager Typen, die diese Kündigungs-Welle mit ihren Charakter Eigenschaften noch weiter befeuern, denn „People don’t leave companies; they leave managers (who the company tolerates and promotes)“.
Im Artikel beschreibt er den „Brilliant Jerk“, den „Micromanager“, den „The Always-On“, „The Historian“ und den „The Peter Principle Personified“, der besser ein Individual Contributor hätte bleiben sollen. Außerdem erklärt er den „The Stuck in Place“ und „den Politiker“.
Schaut mal im Medium Artikel vorbei – habt ihr im November schon zu viele Medium Artikel gelesen, einfach im „inkognito modus“ anschauen.

The Managers Driving the Great Resignation

AWS Free Tier deutlich erweitert

AWS steht ja für seine Transfer Preise häufig in der Kritik. Nun hat man die „Free Tiers“, die kostenlose Nutzung für Einsteiger deutlich erweitert:

  • Transfer von AWS zum Internet: 100GB frei pro Monat/Region (Vorher 1GB pro Monat/Region)
    Das trifft alle EC2, S3 und Elastic Loadbalancing Nutzer und sämtliche andere, ins Internet verbundenen Dienste
  • Transfer von AWS Cloudfront: 1TB/Monat frei (Vorher 50GB) – dazu 10 Mio HTTP/HTTPS requests pro Monat frei (vorher 2 Mio)

AWS ändert damit sein „Free Tier“ – nach über 11 Jahren – Chapeau! Für viele Anwendungen werden diese Limits locker ausreichen.
Matthew Prince, CEO von Cloudflare, kritisierte das Pricing in der Vergangenheit bei jeder Gelegenheit. Er meint dazu:

Well, that was fast!! I’m doing the dance of joy! Great news for our mutual customers. And the next step toward the inevitable end of cloud egress.

Avalanches start with the fall of a few grains of snow. The long term the outcome is inevitable. #rightsideofhistory

Quelle: twitter.com

Wir dürfen also gespannt sein, ob hier wirklich eine Lawine ins Rollen kommt oder dies ein Tropfen auf dem heißen Stein bleibt.

AWS Free Tier Data Transfer Expansion

$5000 Raspberry Pi Server von Jeff Geerling

Jeff Geerling, Autor von „Ansible for DevOps„, „Ansible for Kubernetes“ und diverser Ansible Playbooks hat seine Einkünfte mal wieder sinnvoll investiert – oder doch nicht?
Im verlinkten Artikel beschreibt er den Bau eines $5000 Dollar Raspberry Pie Servers (yes, it’s ridiculous) mit insgesamt 48TB Brutto Speicherkapazität. Er verwendet Radxa Taco – ein Compute Modul für den Raspberry für bis zu 5 Disks.
Im Blog Artikel findet ihr diverse Benchmarks mit einem ZFS Filesystem.
Zu Faul zum lesen? Gibt auch ein Youtube Video von Jeff (Länge: 13 Minuten).

I built a $5,000 Raspberry Pi server (yes, it’s ridiculous)

GitHub Stories: Cassidy Williams

Cassidy Williams ist den Twitter Usern unter euch sicher ein Begriff. Unter @cassidoo folgen ihr über 170.000 Menschen und begeistert diese mit ihrem häufig witzigen und selbst-ironischen Content.
Im „Readme Project“ bei GitHub beschreibt Sie, wie Sie ursprünglich mit dem Thema Internet in Berührung kam, was es ausmacht, als Frau im Internet Content zu produzieren und was für sie Community Arbeit ausmacht.
Ihren Newsletter zum Thema „Web Development“ haben über 14.000 Subscriber abonniert – hier teilt sie auch Bilder ihrer unzähligen, mechanischen Keyboards.

The Readme Project: Lift as you climb

GitLab 14.5: November Release veröffentlicht

Vor wenigen Tagen hat GitLab das November Release 14.5 veröffentlicht. Folgende Highlights sind enthalten:

  • Infrastructure as Code (IaC) scanning frei verfügbar – unterstützt werden Terraform, Ansible, AWS Cloud Formation und Kubernetes
  • GitLab Kubernetes Agent ist nun „free“ – war bisher nur ab Premium verfügbar – einfache Funktionen des Agenten sind nun für alle nutzbar
  • Project Management in Self-Managed Instanzen verbessert – Suche, Projekte und Co können nun einfacher angepasst werden
  • Personal Readme Files sind verfügbar – damit könnt ihr euch auf GitLab.com und in self-managed Instanzen ein eigenes Profil bauen, wie beispielsweise hier bei Michael.
  • Erweiterung der Secret Detection: Die automatische Secret Detection findet nun weitere 47 „well-identifiable secret patters“ und sucht nun mit über 90 patterns nach Passwörtern und Secrets in eurem Code.

Diese und weitere 40 Änderungen findet ihr im Release Beitrag auf GitLab.com.

GitLab 14.5 released with infrastructure as code security scanning and group-level merge request approvals

Palo Alto: Sicherheitslücke in GlobalProtect VPN 12 Monate lang offen

Der Netzwerk Spezialist Palo Alto hat nach Angaben der Sicherheitsfirma Randori 12 Monate benötigt, um eine kritische Sicherheitslücke in seinem GlobalProtect VPN Dienst zu fixen. Die Lücke wird bei Randori erklärt und hat einen CVS Score von 9.8/10 (CVE-2021-3064).
Solche Buffer Overflow Lücken werden häufig in VPN Produkten ausgenutzt. Was an diesem CVE etwas seltsam ist, ist das Pandori selbst eine Software Platform zum Aufspüren von Sicherheitslücken herstellt. Diese Plattform wurde zum 1.12.2020 erweitert, dass sie CVE-2021-3064 erkennt. Palo Alto hat man dann aber erst 10 Monate später, am 22.9.2021 über die Lücke informiert.
Keine so gute Praxis, finde ich.
An dieser Stelle nochmal der Hinweis auf security.txt – erklärt in Ausgabe #31 – bitte baut auf euren Seiten eine security.txt ein.

Researchers wait 12 months to report vulnerability with 9.8 out of 10 severity rating

Schmunzelecke

Quelle: https://twitter.com/awlnx/status/1462169105956544513

„When your kid asks for a switch for Christmas“ – twitter.com

„Me demoing the new ArgoCD pipeline to the team“ – twitter.com

nerdig: Backyard Racing – Hot Wheels Tree Track with Treetop Elevator – youtube.com

💡 Link Tipps aus der Open Source Welt

lazygit – Termin UI für git

Lazygit ist eine einfache Terminal GUI für git. Nach der Installation per homebrew, MacPorts oder per Ubuntu PPA startet ihr lazygit einfach mit „lg“ und könnt dann im Terminal schnell branches erstellen und code committen.
Hier findet ihr ein kurzes Demo Video dazu.
Übersicht der aktuellen Features:

  • Files einfach hinzufügen
  • Merge Konflikte lösen
  • Branches auschecken
  • Logs/diffs von Branches/Commits/stash anschauen
  • Einfaches push & pull
  • und einiges mehr

schaut mal rein.

https://github.com/jesseduffield/lazygit

Terminal Interface für AWS EC2 Instanzen

Cloudman ist ein „htop“ ähnliches Terminal Interface für das Management von Amazon EC2 Instanzen. Cloudman verwendet hier die üblichen „./aws/credentials“ Files der aws-cli.
Ihr könnt euch mit Cloudman nach dem Login durch die Regionen navigieren, Instanzen anschauen oder auch über die Console direkt auf einen Server connecten. Auf dem Mac kann es einfach über „brew install dutchcoders/cloudman/cloudman“ installiert werden. Alternativ MacPorts oder halt direkt aus Git.

https://github.com/dutchcoders/cloudman

Beispiele und Techniken für Linux „sed“

Wolltet ihr immer schon mal wissen, was man noch alles mit „sed“ machen kann, dann schaut euch mal diese Beispiele an.
Mit „sed“ könnt ihr umfangreiche String Manipulationen vornehmen. Kennt ihr euch noch gar nicht mit dem Kommando aus, so könnt ihr dieses kleine Tutorial anschauen.
Na, wer schreibt den längsten One-Liner von euch?

https://github.com/adrianscheff/useful-sed

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x