allesnurgecloud #74 – Remote Work Ideen, ClickHouse Performance, DoE bei MOIA, AttachMe Lücke in Oracle und mehr. |

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Remote Work: 3 Ideen für bessere Transparenz

Die Macher der Todo App Todoist und asynchronen Messaging App Twist werben in ihrem Async Blog schon länger für eine asynchronere Arbeitsweise.
In einem aktuellen Beitrag behandelt Becky Kane die üblichen Vorurteile zum Thema Remote Work und erklärt im Detail, wie man bei Doist/Twist mit dem Thema Verantwortlichkeit und Rechenschaft bei Ihnen umgeht.
Im Kern sind 3 Maßnahmen hier bei Twist entscheidend:

Weekly Snippets

Jedes Teammitglied schreibt ein Snippet in Twist und beschreibt kurz die Erfolge und Ergebnisse der Vorwoche und legt einen groben Plan für die kommende Woche dar. Die Twist App sammelt dies pro Teammitglied ein und die Leads aggregieren diese Inhalte dann pro Bereich. Hierbei wird der Fokus für den Monat gesetzt, Welchen Impact habe ich beigesteuert – was beeinflusste meine Balance – positiv oder auch negativ – was möchte ich diese Woche erreichen.
Für die Mitarbeiter dort funktioniert diese Methode als leichtgewichtige Maßnahme, um eine ergebnisorientierte Verlässlichkeit zu schaffen und dabei die Transparenz massiv zu erhöhen.
Bei web.de hatten wir damals etwas ähnliches, in einem kurzen Daily hielten wir die „Erkenntnisse“, „Ergebnisse“ und „Probleme“ für den Tag fest – mein Chef aggregierte diese über sein Team. Wir als Mitarbeiter könnten diese „Dailys“ von anderen Mitarbeitern und Teams abonnieren und konnten somit deutlich näher und kollaborativer an Themen arbeiten.
Autonome Squads

Twist hat für sich das „Do System“ (Doist Objectives) etabliert. Hierbei arbeiten 1-5 Mitarbeiter in cross-funktionalen Teams an einem klar definierten Ziel. Für Doist sind die Teams so klein genug, dass diese autonom arbeiten können und es keine „Free Rider“ gibt, Mitarbeiter die sich in der Teamgröße eher „zurückhalten“. Jedes Squad teilt am Monatsende seine „3Ls“ – likedlacked und learned – und das erinnert mich doch stark an web.de (s.o.). Die immer geht es dabei nicht um das Etablieren einer „Blame“ Culture – sondern darum Probleme frühzeitig beheben zu können und sich auf Wachstum und Lernen konzentrieren zu können.

Regelmäßige 1:1s

Jeder Mitarbeiter hat ein regelmäßiges 1:1 mit seinem Lead. Die 1:1s sind in beide Richtungen für direktes Feedback, Fragen, Probleme und Herausforderungen gedacht. Für Doist steht gier der Dialog im Vordergrund, und nicht eine Top-Down Kommunikation.

Der Artikel enthält noch 2 Bonus Tipps: Einen zum Thema Kommunikation der Erwartungshaltung für Antworten und einen zum Thema Deadline Setting.

In Summe echt ein toller und empfehlenswerter Artikel, der Tool unabhängig zeigt, wie man asynchroner arbeiten kann und dabei die Transparenz vielleicht sogar noch erhöhen kann.

3 time-tested systems for creating accountability on a remote team

1,1 Milliarden Taxi Fahrten in ClickHouse

In diesem Artikel beschreibt Mark die Installation von ClickHouse über den Managed DB Provider DoubleCloud (Berlin, USA), welcher unter anderem ClickHouse und Kafka als Service anbietet.
Mark half unter anderem dem in Paris beheimateten SEO Anbieter Botify, sein 5PB Data Warehouse von Google BigQuery nach ClickHouse (in DoubleCloud) umzuziehen. Botify erhöhte dabei seine Query Performance, sparte einen Großteil seiner Storage Kosten ein. Über die Hybrid Storage Funktion von ClickHouse werden Archivdaten auf S3 Speicher ausgelagert – der User selbst merkt davon nichts – er schreibt eine SQL Query gegen eine Tabelle – ein Teil der Daten kann hier lokal, ein anderer Teil auf einem S3 Speicher liegen.
Mark hat für seinen Benchmark das „Billion Taxi Rides“ Dataset genutzt, welches Daten zu 1,1 Milliarden Zeilen Taxi und Uber Fahrten in 51 Spalten in über 500GB CSV Daten bereitstellt. Die Daten sind übrigens hier auf GitHub Open Source verfügbar.

Mark erzielte eine sehr gute Query Performance im Test, schon ganz ohne Optimierungen. Und das obwohl er Speicher technisch einiges einspart. Mark hat hier eine interessante Übersicht über bisherige Benchmarks des gleichen Datasets (ClickHouse, Elastic, Presto, BigQuery, BrytlytDB und andere) erstellt.

1.1 Billion Taxi Rides in ClickHouse on DoubleCloud

Sponsored

Bring deine Kolleg:innen auf den aktuellen Stand!

Neue Cyttraction Online-Kurse rund um IT Sicherheit im [Home] Office starten am 01.10.2022!
Auf Deutsch & Englisch + Q&A Session!

Geburtstags-Deal: EUR 25 +MwSt. statt EUR 75 +MwSt. für Einzel-Lerner und Unternehmens-Lizenzen im September!

Jetzt Cybersecurity Kurs Angebot sichern

20 Monate Director of Engineering bei MOIA

Finn Lorbeer ist nun 20 Monate „Director of Engineering“ beim Mobilitäts-Startup MOIA und berichtet in seinem Blog über die Änderungen seiner Sicht auf Führung, Teams im Generellen und was dies mit ihm selbst gemacht hat.
Eine große Leadership Challenge in Produkt-/Software Development Firmen ist aus seiner Sicht das „Micro Management“, der Kontrollwahn und die Einmischung von Führungskräften. Er schreibt dazu:

If I want to ensure a servant leadership style, I must work hard to not closely observe the work of the team. I shall certainly not control their work nor remind them what to do. Hence, I have to: look away, have a loose contact with the team and when I see something is forgotten: not remind them.

Man muss seinen Mitarbeitern Vertrauen, sich zwingen sich nicht einzumischen. Man kann diese Themen durch Training und Empowerment optimieren – in der Regel wissen die Mitarbeiter ja, was genau zu tun ist – man muss sie häufig „nur“ ermutigen, die entsprechenden Schritte zu gehen.

Bei seinem Teams hat Finn die Erfahrung gemacht, dass nicht alle Teams, bzw. deren Mitarbeiter mit der Freiheit Autonomer Teams klar gekommen sind – und die Firma verlassen haben. Viel hatte mit der Erwartungshaltung und unklaren Formulierungen zu tun – nun haben die Teams geklärt, wie Roadmaps zu leben sind und dass sie selbst die Kontrolle darüber haben, was wie implementiert wird – in einem gewissen Rahmen, natürlich.
Was er über sich selbst schreibt finde ich auch interessant: Mit dem „Director“ Titel im Namen reduzierte sich das direkte und offene Feedback an ihn selbst. Zudem teilt er interessante Beobachtungen darüber, wie er von den Mitarbeitern der Teams wahrgenommen wird.
In Summe ein sehr empfehlenswerter Artikel, bei dem auch die alten Hasen noch was lernen können.

My 20-month Leadership Journey

AttachMe: Lücke in Oracle Cloud

Die Sicherheitsforscher von Wiz haben mal wieder zugeschlagen – diesmal in der Oracle Cloud.
Die #AttachMe genannte Lücke erlaubte es den Sicherheitsforschern, sämtliche Storage Volumes außerhalb des eigenen Accounts in eigenen Maschinen zu mounten und zu modifizieren. Die Volumes mussten dazu nur „Multi-Attachement“ erlaubt haben und sich in der selben Availability Domain (AD – anderer Name für Availability Zone) befinden.
Die Lücke wird im verlinkten Blog Artikel ausführlich beschrieben.
Oracle habe sehr vorbildlich reagiert und die Lücke in allen Umgebungen innerhalb von 24 Stunden geschlossen, so die Sicherheitsforscher. Ein paar Details und die Timeline dazu könnt ihr bei @shirtamari, Head of Research, in diesem Twitter Thread nachlesen.

AttachMe: critical OCI vulnerability allows unauthorized access to customer cloud storage volumes

Google Cloud blockt große Layer 7 DDoS Attacke

Google hat im August 2022 Details zu einer großen Layer 7 DDoS Attacke aus dem Juni veröffentlicht.
Ein Cloud Armor (DDoS und WAF Produkt) Kunde wurde mit 46 Millionen Requests pro Sekunde angegriffen – das ist 76% Prozent mehr, wie die erst im Juni 22 von Cloudflare veröffentlichte 26 Millionen RPS Attacke – ebenfalls aus dem Juni 2022.
Zum Vergleich: Man bekommt den gleichen Traffic, den Wikipedia über 24 Stunden erhält – nur halt innerhalb von 10 Sekunden.

In diesem Fall hatte Cloud Armor einen Alarm generiert und dem Kunden eine „Protection Rule“ vorgeschlagen – diese wurde vom Kunden umgesetzt und der Traffic recht schnell blockiert – ohne Impact.
Insgesamt nahmen über 5000 IP Adressen aus übe 132 Ländern an der Attacke teil – die Top 4 Länder (Brasilien, Indien, Russland und Indonesien) lieferten einen Großteil (31%) der Bandbreite. Über 22% der IPs konnten TOR Exit Nodes zugeordnet werden – allerdings steuerten diese nur einen geringen Teil der Requests bei.

How Google Cloud blocked the largest Layer 7 DDoS attack at 46 million rps

PostgreSQL Isolation Problem bei Cloud Anbietern

Bereits im August veröffentlichten die Sicherheitsforscher von Wiz Research eine ausführliche Recherche zu diversen Schwachstellen im PostgreSQL-as-a-Service Angebot der Google Cloud, Azure und Anderen.
Alle Provider haben eins Gemein – sie erweitern den Standard PostgreSQL um eigene Erweiterungen, damit der Betrieb auf der eigenen Plattform speziell angepasst und optimiert ablaufen kann.
In der Google Cloud konnten die Forscher von Wiz sich über einen „Custom Index“ gepaart mit einer Privilege Escalation mittels Alter Table weitreichende Rechte auf einer PostgreSQL Instanz sichern (Beispiel Code). In einer weiteren Analyse konnten die Forscher aus der Docker PostgreSQL Instanz ausbrechen und beispielsweise das iptables Config-file manipulieren und schlussendlich per SSH auf den Host zugreifen.
Das Google Security Team hat den „Research“ jedoch bemerkt und sich umgehend gemeldet – chapeu.

In Azure war die Escalation etwas einfacher, da die CREATEROLE Permission von Azure scheinbar nicht angepasst war. Die Forscher konnte über CREATEROLE einen User anlegen, mit diesem einen „Copy“ Job ausführen, welcher eine Reverse SSH Shell angelegt hat – darüber konnte Wiz dann auf den Host zugreifen, welcher mehrere DB Instanzen (auch anderer Kunden) beherbergte.
In der PostgreSQL Mailingliste gibt es nun eine Diskussion zum Thema – und auch der Möglichkeit, den Filesystem Zugriff global zu deaktivieren.

The cloud has an isolation problem: PostgreSQL vulnerabilities affect multiple cloud vendors

GitLab 15.4 released

Am 22.9.2022 war es mal wieder Zeit für ein neues GitLab Release, diesmal die Version 15.4.

und eine Vielzahl weiterer Verbesserungen (insgesamt über 60 Stück).

GitLab 15.4 released with Suggested Reviewers and better VS Code CI/CD experience

Humble Bundle: Cloud Infrastructure & Operations

Und bei Humble Bundle gibt es mal wieder ein interessantes Bundle zum Thema Cloud Infrastructure & Operations von O’Reilly – aber nicht in der Ablage verschwinden lassen! 🙂
Zahlst Du mindestens 18,14€, so erhältst du 15 Artikel des Verlages, unter anderem:

  • Implementing Service Level Objectives
  • Design Patterns for Cloud Native Applications
  • Migrating to AWS: A Manager’s Guide
  • Learning Helm
  • Database Reliability Engineering
  • Distributed Tracing in Practice
  • Prometheus: Up & Running

Die einzelnen Titel sollen in Summe einen Wert von 758,66€ haben.
Wie immer bei Humble Bundle sind die Bücher DRM free und als PDF, ePUB und MOBI erhältlich

Humble Bundle: Cloud Infrastructure & Operations

Schmunzelecke

Quelle: https://twitter.com/funcshawnal/status/1572422624638279681

💡 Link Tipps aus der Open Source Welt

eCapture – SSL/TLS context einfach debuggen

Mit eCapture könnt ihr SSL/TLS im Plaintext mit schneiden, ganz ohne das Zertifikat einzubinden. Das Ganze funktioniert über eBPF – ihr müsst dafür nur im „root“ Context unterwegs sein und ein passendes eCapture binary laden.
eCapture benötigt Kernel 4.15 oder neuer und hilft euch beim audit von TLS/SSL Verbindungen, Bash Commands und unterstützt zusätzlich MySQL und MariaDB. Wie das Ganze funktioniert wird hier in diesem Tutorial erklärt.
Danke Beni für den Tipp.

https://github.com/ehids/ecapture

macOS: sudo per touchID

In diesem kleinen GitHub Gist findet ihr ein nützliches Script für pam.d, welches unter macOS sudo per touchID erlaubt.

Enable sudo auth for macOS touchID via pam

Ratchet – CI/CD version pinning

Ratchet automatisiert Dir das pinning und unpinning von upstream Versionen in Deinem CI/CD workflow.
Aktuell supported Ratchet GitLab CI, GitHub Actions, Google Cloud Build und Circle CI. Du kannst Ratchet einfach als Single Static Binary oder per Container einbinden. Ein kleines Tutorial zur Funktionsweise findest du in der Readme des GitHub Projekts.

https://github.com/sethvargo/ratchet

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


1

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x