allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Log4Shell: log4j Update zum Update
Wer hätte gedacht, dass ein Bug in log4j die Technik-Welt so in Atem halten kann. Nachrichten zu log4j, Exploits und Update Warnungen sind mittlerweile überall – sogar der lokale Radiosender berichtete.
Mittlerweile gibt es aktuell vom Samstag ein weiteres Update, log4J 2.17.0 – welcher unter anderem diesen Bug fixed. Das komplette changelog zu log4j 2.17.0 findet ihr hier. Bitte aktualisiert eure Software und verfolgt die aktuelle Lage, so dass wir wenigstens zu Weihnachten etwas Ruhe haben.
Ein paar weiterführende Links zum Thema:
- Liste mit betroffener und verwundbarer Software von der amerikanischen Cybersecurity and Infrastructure Security Agency
- Liste mit bei AWS betroffenen und aktualisierten Services – Ich denke da haben wir einen Sponsor für das Projekt gefunden – zumindest hoffe ich doch schwer, dass das im Nachgang passiert.
- Übersicht zu log4 Versionen und deren Verwundbarkeiten bei Snyk
- Online Scanner zu Log4Shell von der Security Firma Huntress
- GitLab CI/CD Container & Dependency Scanning
- die ersten Ransomware Angriffe von staatlichen Akteuren gibt es ebenfalls
- RegEx zum aufspüren von Log4Shell Versuchen in euren Logs
- VCenter Server werden von der Ransomware Gruppe Conti angegriffen
- Im „Podcast 2022 Zukunft Verstehen“ spricht Sascha Lobo mit Manuel Atug (CCC-Urgestein) und Holger Unterbrink (Talos Security) über die Bugs in log4j und dessen Auswirkungen
Ansonsten kann man nur empfehlen, die Lage weiterhin im Auge zu behalten und zur Verfügung stehende Updates ASAP einzuspielen.
New patch issued for log4j, Google scopes out vulnerability impact
GitLab kauft Opstrace
GitLab hat die Open Source Monitoring Software Opstrace mitsamt Team erworben. Opstrace ist eine einfach in Prometheus zu integrierende Lösung für Logs, Metriken und Traces – diese Features sollen in Zukunft im GitLab SaaS und Self-Hosted Produkt integriert werden. Opstrace soll aber auch weiterhin eigenständig betrieben werden können. Das Software Bundle enthält neben eigenem Code Prometheus, Cortex und Grafana.
Laut Opstrace Landingpage möchte man sich erstmal auf Logs und Metriken konzentrieren und Tracing später vertiefen.
Hier findet ihr den News Beitrag bei Opstrace, und hier die FAQ bei GitLab.
GitLab acquires open source observability distribution Opstrace
Anzeige
DevOps as a Service mit We Manage
Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Web-Applikationen.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise everysize.com – eine Sneaker Suchmaschine mit Preisvergleich und Community.
Interessiert? Lerne uns in einem 30 Minuten Video-Call kennen.
Österreich: EDUcloud basiert auf OpenSource
In Österreich hat das Konzept der „EDUcloud“ Austria einen Förderpreis erhalten – doch was ist eigentlich EDUcloud?
Eine Hersteller-unabhängige, Datenschutz-konforme Lösung zur digitalen Lehre & Schule.
EDUcloud verwendet hierfür:
- BigBlueButton für Video Konferenzen
- Moodle als Lernmanagementsystem
- Rocket.Chat als Chat Lösung
- Kopano Groupware als E-Mail und Kalenderlösung
- OwnCloud für den Austausch von Dokumenten
- OnlyOffice als Microsoft Office Ersatz direkt in Moodle und OwnCloud integriert
- LimeSurvey für Umfragen
Klingt ganz spannend – wenn man das vernünftig gebündelt und integriert bekommt – könnte dies eine all-in-one Alternative für Schulen sein. Bei uns werden schon regional die unterschiedlichsten Systeme eingesetzt in kombiniert.
Mess with DNS – Interaktives DNS Tutorial
DNS – das Herzstück des Internets – ist eine häufige Fehlerquelle bei Ausfällen von Diensten oder ganzen Cloud-Anbietern.
Julia Evans hat, nach ihrem kleinen „How to use dig“ Tutorial eine interaktive HowTo Page zum Thema DNS gestartet.
Ihr lernt hier interaktiv den Umgang mit A-Records, CNAME records, TTLs, MX, SPF und DKIM Einträgen.
Dir sagt das alles nichts? dann nichts wie hin, das Tutorial ist schnell erledigt und hilft, die Grundfunktionen des Internets zu verstehen.
Das Beste am Tutorial? Die Einträge funktionieren tatsächlich und ihr könnt die Seiten aufrufen oder Test-Mails verschicken.
Sysadvent: Kubernetes via k3s installieren
In diesem Jahr gibt es wieder den SysAdvent Kalender mit täglichen Blog Postings zu interessanten Technologien.
An Tag 16 gab es ein interessantes Tutorial für Kubernetes: Der Installation via k3s auf einem Single Node zu Hause auf eurem Homeserver, beispielsweise einem Raspberry PI. K3S ist ein Open Source Produkt von Rancher und die Installation ist wirklich sehr einfach. Wolltet ihr schon immer mal mit Kubernetes experimentieren? Schaut euch den verlinkten Artikel an.
Weitere, interessante Artikel bei SysAdvent 2021:
- Day 1 – The Myths and the Magic in My Search for Acquiring Software Engineering Skills
- Day 2 – Reliability as a Product Feature
- Day 7 – Baking Multi-architecture Docker Images
- Day 11 – Moving from Engineering Manager to IC
- Day 14 – What’s in a job description (and who does it keep away)?
Alle Beiträge könnt ihr auf sysadvent.blogspot.com lesen oder einfach per RSS abonnieren.
Day 16 – Setting up k3s in your home lab
On-Call Best Practices von ably.com
Schlaf ist uns allen heilig – warum sollten die Leute in der Bereitschaft nicht auch vernünftig schlafen dürfen?
Wie könnt ihr Ihnen helfen? Ably.com listet hierzu diverse Erfahrungswerte:
- Alarme als Code verstehen – inkl. Alert Review, Automatisierung und Tests.
- Test Umgebungen überwachen – um neue Alerts zu testen und bestehende zu verifizieren – es kann sich ja auch Code in der Anwendung ändern und das Monitoring dann deshalb Probleme bekommen.
- Playbooks zur Dokumentation nutzen – Nachts um 3:34 Uhr hilft es enorm, einem Standard Prozess zu folgen, welcher gemeinsam abgestimmt und dokumentiert wurde. So können nachfolgende Schichten auch einfacher einen bestehenden Incident übernehmen
- Transparenz der aktuellen On-Call Mitarbeiter Ably nutzt hierfür PagerBeauty – dies zeigt die aktuellen OnCall Personen pro Produkt/Team auf einer Übersichtsseite an.
- Alerting Automatisieren: Niemand sollte auf einen Bildschirm starren und „das System beobachten“ – man muss sich auf das Alerting zu 100% verlassen können.
- Test Alert zu Schichtbeginn: Finde ich eine interessante Idee – hat der Handover funktioniert, der Mitarbeiter Zugriff auf die Systeme – sowas kann man über einen zu bestätigenden Test Alert sicherstellen.
Interessante Sammlung, die Mitarbeiter von ably machen generell ein sehr gutes „Content Marketing“ in Ihrem Blog, viele der technischen Artikel sind empfehlenswert.
Save your engineers‘ sleep: best practices for on-call processes
Fastly kontert Cloudflare Worker Performance Ergebnisse
Cloudflare hatte zuletzt im November ein umfangreiches Performances Update veröffentlicht – hierbei kamen diverse Mittbewerber nicht so gut weg – unter anderem Fastly.
Fastly bezichtigt Cloudflare der Lüge und geht im verlinkten Blog Beitrag auf eine mögliche Benachteiligung bei den Tests ein.
Beispielsweise habe man spezielle Test Locations genutzt, die Cloudflare bevorzugen, oder einen Cloudflare Paid mit einem Fastly Free Account verglichen. Zudem sei das Javascript (Compute@Edge) Produkt gerade noch in der Beta, die Worker in Verbindung mit Javascript im Vergleich schon deutlich robuster.
Cloudflare habe auch nur über 1 Stunde hinweg verglichen – Fastly nun über einen Zeitraum von einer Woche und von 673 verschiedenen Nodes.
Fastly data: Median TTFB, 673 catchpoint nodes, 378,000 requests, performed from 2021-11-24 00:00 to 2021-11-30 00:00 (6 days) [results] Cloudflare data: Median TTFB, 50 catchpoint nodes, unknown number of requests, performed from 2021-11-08 20:30 to 2021-11-08 22:00 (1.5 hrs)
Fastly kommt zum Ergebnis, dass die eigene Plattform Compute@Edge in Europa und Nord-Amerika fast doppelt so schnell sei als das Cloudflare Workers Pendant. Mal schauen wann Cloudflare den Ball retourniert.
Lies, damned lies, and (Cloudflare) statistics: debunking Cloudflare’s recent performance tests
„CyberBunker“ Betreiber müssen jahrelang ins Gefängnis
Wir erinnern uns: Im September 2019 konnten Polizisten bei einer Razzia den „CyberBunker“ Standort bei Traben-Trarbach (Rheinland-Pfalz) diverse Unterlagen und Server sicherstellen. In der Folge gab es über 200 Verfahren gegen Kunden des „CyberBunker“.
Im Verfahren gegen die Betreiber selbst wurden die Angeklagten nun zu Haftstrafen von bis zu 6 Jahren verurteilt – unter anderem wegen der „Bildung und Mitgliedschaft einer kriminellen Vereinigung“. Man hatte bei der Razzia über 400 Server mit über 2 PB an Daten beschlagnahmt.
In der ursprünglichen Kaserne Mont Royal hatte das „Amt für Geoinformationswesen“ der Bundeswehr schon ein Rechenzentrum betrieben. 2013 wurde das Gelände inkl. Bunker von der Firma hinter „CyberBunker“ für 450.000€ erworben und zum eigenen RZ umgerüstet.
Die sehr ausführliche Hintergrundrecherche „Im Bunker des Bösen“ von Spiegel Online ist empfehlenswert.
Knapp sechs Jahre Haft für Betreiber von Cyberbunker
Schmunzelecke
Log4Shell: Namensvorschläge für die nächsten Versionen – auf twitter
Log4Shell Meme Sammlungen:
- auf Github.com
- log4jmemes.com – welcher CVE hat noch eine eigene Meme Landingpage?
💡 Link Tipps aus der Open Source Welt
Llama – Terminal File Manager
Llama ist ein einfacher und minimalistischer File Manager für euer Terminal.
Mann kan Files browsen, Verzeichnisse wechseln oder den Editor öffnen.
Installieren aktuell via go get github.com/antonmedv/llama.
https://github.com/antonmedv/llama
Clammit – HTTP Interface für ClamAV
Clammit ist ein HTTP Interface für den Virenscanner ClamAV. Ihr könnt Clammit beispielsweise innerhalb von nginx als „Interception Proxy“ verwenden oder ClamAV als HTTP Service für andere Dienste anbieten.
Im Beispiel wird erklärt, wie ihr damit POST Requests abfangen und erstmal an ClamAV übermitteln könnt. Sind die Uploads „clean“, so wird der POST ganz normal ans Backend weitergeleitet.
https://github.com/ifad/clammit
SecLists – Umfangreiche Liste für Security Testing
Im SecLists GitHub Projekt findet ihr diverse Passwort, Username, und URL Listen für das Penetration Testing.
Zudem sind auch diverse Web-Shells, Bilder, der EICAR Test Virus und andere, für das Security Testing hilfreiche Listen enthalten.
https://github.com/danielmiessler/SecLists
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: