Etikettarkiv: DevOps

DevOps Säkerhet

2015-02-11DevOpsAppArmor, DevOps, Docker, Elasticsearch, mongodb, Nagios, Nessus, New Relic, OSSEC, pingdom, Qualys, redis, säkerhet, SELinux, ubuntu, Ubuntu SnappyJonas

Att jobba med DevOps samt IT-säkerhet är några av de områden som jag gillar mest. Därför är det intressant att ibland stanna upp och reflektera. För inom DevOps handlar det oftast om att skeppa kod så snabbt som möjligt och bygga skalbara och snabba mikroinfrastrukturer med continuous integration. Säkerhet däremot ses ofta som en bromskloss i utvecklingsarbetet.

Det går att fuska med säkerhet: Genomföra saker snabbt men se säkerheten som ett lån med ränta. Att betala tillbaka på lånet snabbare gör att säkerheten blir bättre och det blir inte lika dyrt längre fram (technical debt).

Att ta med säkerheten tidigt i sin planering är viktigt, för använder ni Docker så se till att använda SELinux eller AppArmor (vilket bl.a. Ubuntu Snappy gör som standard).

Exponera ej Elasticsearch, Redis, MongoDB eller andra databaser direkt mot Internet, vilket tyvärr förekommer och nyttjas av elakingar.

Se även till att inte lagra lösenord i klartext och genomför säker radering av information. Visste du exempelvis att Mac OS X har kommandot srm?

srm – securely remove files or directories

Nu är det nog med rant för det blir faktiskt bättre. Och för att ge lite matnyttiga tips tänk på följande:

10 tips till säkrare DevOps

Genomför inte bara backup. Kontrollera även löpande att den verkligen innehåller allt och fungerar. Backup för prod ska ej vara tillgänglig från stage och vice versa.
Prod-, stage- och utvecklingsmiljöer ska ej dela nycklar, lösenord etc.
Tänk på att ej lägga alla ägg i samma korg. Nyttja exempelvis Amazons availability zones.
Kryptera så mycket som möjligt. Inte bara in-transit utan även lokalt, undvik helt klartextprotokoll samt införskaffa SSL-Certifikat.
Logga mycket och filtrera samt arkivera med hjälpmedel såsom OSSEC. Som förresten även kan hålla koll på filintegritet.
Bevaka med verktyg såsom Nagios, Pingdom och New Relic. Glöm inte ändpunkter för API (10 saker som Bit.ly glömde att bevaka).
Genomför löpande säkerhetskontroller med verktyg såsom Qualys, Nessus och Detectity. Även manuella återkommande granskningar är att rekommendera av företag som utför penetrationstester.
Omvärldsbevaka och håll Er uppdaterad när det kommer nya sårbarheter i de mjukvaror som Er infrastruktur använder. Vad är best practices just nu för att lagra lösenord, är det bcrypt, scrypt eller pbkdf2?
Segmentera och filtrera så mycket som möjligt. Ingen enskild server eller konto ska ha tillgång till allt.
Checka aldrig in lösenord, nycklar eller annat känsligt till ett repo.

Tänk inte bara DevOps, tänk även SecOps.

Lös inte nästa problem som du stöter på, på följande sätt (saxat från Stackoverflow)

Konsultlivet

2014-10-18Ingen kategoriDevOps, Docker, internetdagarna, IT-säkerhet, kryptering, Triop ABJonas

Det senaste året har jag fokuserat mer på min konsultverksamhet under Triop AB. Det har varit otroligt kul men också långa dagar och mycket stressigt stundtals. Försöker bli bättre på att effektivisera konsultlivets vardag genom att lära mig mer om GTD och använda verktyg såsom Billogram.

Lär mig även mer om offentliga upphandlingar och ramavtal samt försöker lägga tid på att forska och föreläsa mer. Har så klart inte övergett den egna webbutvecklingen helt och har en ny tjänst som snart lanseras. Avslutade nyss även bokslutet för förra året och vinsten tredubblades i bolaget vilket alltid är trevligt och omsättningen gick upp med 30%.

Den blogg som jag uppdaterar mest just nu är Kryptera.se där jag skriver om IT-säkerhet och kryptering vilket är några om områden som jag konsultar inom förutom DevOps.

På det mer personliga planet så klarade jag av mitt mål som jag tränat inför i två år: Ironman Kalmar 2014 vilket jag bloggade om på jonaslejon.se.

Några intressanta event framöver:

Jag startar konsultfirma

2014-05-13ProjektenDevOps, IT-Forensik, IT-säkerhet, IT-säkerhetsgranskning, penetrationstest, Reverse-EngineeringJonas

Inte direkt någon nyhet men jag har kört lite konsultgig sedan en bra tid tillbaka och tänkte att det nu är dags att formalisera och åtminstone starta upp en webbsida som är någorlunda beskrivande.

Konsult-tjänsterna riktar sig framförallt mot IT-säkerhet och DevOps inom följande områden:

Reverse Engineering
Kryptografi
IT-Forensik
Penetrationstester
Säkerhetsgranskningar
Automatisering med DevOps. Med exempelvis WordPress samt prestanda (tänk Fabric, Ansible etc)

Jag kommer så klart att köra vidare på ett antal andra projekt för egen räkning såsom HittaRabatt som tuffar på som tåget med nya grymma rabattkoder.

Anslut gärna via LinkedIn:

Gå till Jonas Lejons profil

GitHubs sökfunktion, en guldgruva

2013-09-24Ingen kategoriDevOps, Fabric, github, pythonJonas

Innan jag fortsätter med nästa inlägg i min serie om DevOps med Python/Fabric så tänkte jag tipsa om Githubs relativt nya avancerade sökfunktion. Denna sökfunktion har räddat mig många gånger då jag funderat hur en viss funktion kan användas eller exempel på kod hur saker kan genomföras.

Om du vill lära dig hur du kan sätta datornamn (hostname) via Fabric så kan följande sökning genomföras:

Kolla även in den avancerade sökfunktionen:

https://github.com/search/advanced

IT-Entreprenör Jonas Lejon

En blogg om utveckling, IT-säkerhet och entreprenörskap