Purple Team Diary's

Я не root, но всё могу Cчитаете, что без privileged: true или runAsRoot: false вы уже в безопасности? Даже если контейнер работает от обычного пользователя, он всё ещё может обладать опасными привилегиями - благодаря так называемым default capabilities. В Linux права суперпользователя разбиты на отдельные возможности - capabilities. Это позволяет точечно выдавать привилегии, а не всё сразу. Однако по умолчанию Kubernetes предоставляет контейнерам целый набор таких возможностей - даже если не ука...

Llamator для тех кто в танке, в банке, без интернета Базовый сценарий работы Llamator'а предполагает взаимодействие с 3 моделями: 1. Атакующая-модель: генерирует промты 2. Модель которую тестируем 3. Модель-судья: анализирует ответы тестируемой модели Мы будем использовать зараннее подготовленый файл с промтами, специфичными для внутреннего пользования. Создаем заглушку для атакующей модели работающую с json: class ClientFromFile(ClientBase): def init(self, prompts_file: str, model_description: ...

Подключаемся к Kubernetes (Яндекс.Облако) с помощью Lens или мобильного приложения Kubenav 1. Создаем сервисный аккаунт и права в кластере cat << 'EOF' > sa-lens.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-user roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: admin-user namespace: kube-s...

Блоггер из США пытается подбить робота на то, чтобы он в блогера разрядил обойму и что из этого вышло.

Инсайдеры раскрыли главную причину сегодняшнего коллапса в Аэрофлоте

Я не root, и ты не root: защита от себя в kubernetes 1. Запуск контейнеров от имени непривилегированного пользователя Проблема: Запуск от UID 0 дает злоумышленнику, скомпрометировавшему контейнер, права суперпользователя, что упрощает атаку на хост. Решение: Использовать securityContext для запуска от обычного пользователя и ограничения прав. securityContext: runAsUser: 1000 runAsGroup: 3000 runAsNonRoot: true readOnlyRootFilesystem: true runAsNonRoot: true - запрещает запуск, если образ пытаетс...

Установка Kubernetes: настройка Master Node (гайд от @giftsnat) Шаг 1: Настройка /etc/hosts на каждой виртуалке sudo tee -a /etc/hosts << EOF 10.250.105.20 k8s-ingress 10.250.105.21 k8s-master 10.250.105.22 k8s-worker-1 10.250.105.23 k8s-worker-2 EOF Проверить: ping -c 2 k8s-master ping -c 2 k8s-worker-1 getent hosts k8s-ingress Шаг 2: Установка Kubernetes компонентов Обновляем систему: sudo apt-get update && sudo apt-get upgrade -y Устанавливаем зависимости: sudo apt-get install -y apt-transpor...

Бесплатная оффлайн защита LLM Недавно компания Qwen представила специализированные модели для обеспечения безопасности языковых моделей - Qwen3Guard. Это семейство включает две линейки: Generative-версии (полнотекстовые): Qwen3Guard-Gen-0.6B Qwen3Guard-Gen-4B Qwen3Guard-Gen-8B Stream-версии (потоковые): Qwen3Guard-Stream-0.6B Qwen3Guard-Stream-4B Qwen3Guard-Stream-8B Преимущество в том, что модели абсолютно бесплатные, легко адаптируются под специфические задачи, широкое покртиые категорий: 1. V...

Шпаргалка по k6 k6 - это мощный, лёгкий инструмент для нагрузочного тестирования написанный на golang. Ключевые понятия VUs (Virtual Users) - виртуальные пользователи, имитирующие реальных юзеров. Iterations - сколько раз каждый VU выполнит сценарий. Stages - ступени нагрузки (рост → пик → спад). Thresholds - пороги для успешности теста (например, 95% запросов < 500мс). Checks - проверки ответов (статус 200, наличие текста). Не ломают тест, но помогают анализировать. RPS (Requests Per Second) - ...

Как безопасно анализировать pickle-файлы без выполнения кода Появилась необходимость реализовать алгоритм, который безопасно проверяет pickle-файлы на предмет backdoor’ов. Используется двухуровневый подход для максимально полного выявления угроз: Уровень 1: Анализ opcodes pickle В байткоде pickle инструкция GLOBAL (opcode 'c') и инструкция STACK_GLOBAL (opcode '&#092;x93') отвечают за импорт модулей и функций. Как работает: • pickletools.genops() декомпилирует байткод и возвращает последовательн...