Hacking & InfoSec Base

🔒 Безопасность Docker: уходим от дефолтной хрени к seccomp и AppArmor Стандартные контейнеры Docker - это монстр привилегий. Вместо тюрьмы запускаем почти голую ОС. Разберём, как прикрыть этот дебильный зад кастомными профилями изоляции за 15 минут. 1️⃣ Анализ текущей уязвимости

    
        docker inspect --format='{{.HostConfig.Privileged}}' <container>
docker inspect --format='{{.HostConfig.SecurityOpt}}' <container>{}
    

Увидите true или пустоту - это пиздец. Привилегированный контейнер = доступ к хосту. 2️⃣ Кастомный профиль seccomp (блокируем системные вызовы) Скачаем дефолтный профиль, отредактируем:

    
        wget https://raw.githubusercontent.com/moby/moby/master/profiles/seccomp/default.json -O custom-seccomp.json
nano custom-seccomp.json{}
    

Добавим блокировку опасных вызовов:

    
        "syscalls": [
  {
    "names": ["clone", "fork", "kill", "mount", "setns", "unshare"],
    "action": "SCMP_ACT_ERRNO"
  }
]{}
    

3️⃣ Запуск контейнера с кастомным seccomp

    
        docker run -d --security-opt seccomp=./custom-seccomp.json --name secured_app nginx:alpine{}
    

4️⃣ Написание профиля AppArmor (ограничение файлов/сетей)

    
        sudo aa-genprof /usr/sbin/docker
# Запустится в режиме обучения. Шлите трафик в контейнер, он запишет правила.
sudo aa-logprof
# Применяем сгенерированный профиль (например, docker-default){}
    

Или ручкой создадим /etc/apparmor.d/docker-custom:

    
        # Включим базовый профиль
#include <tunables/global>

profile docker-custom flags=(attach_disconnected,mediate_deleted) {
  # Запретим запись в системные директории
  deny /etc/** w,
  deny /usr/lib/** w,
  deny /sys/** w,

  # Разрешим только исходящие сетевые подключения на 80 и 443
  network inet tcp,
  network inet6 tcp,
  deny network inet udp,
  deny network raw,
}{}
    

Загружаем и применяем:

    
        sudo apparmor_parser -r /etc/apparmor.d/docker-custom
docker run -d --security-opt apparmor=docker-custom --name locked_app nginx{}
    

5️⃣Тестирование изоляции Попробуем внутри контейнера сделать что-то запрещённое:

    
        docker exec secured_app sh -c "whoami"
docker exec secured_app sh -c "mount -t tmpfs tmpfs /mnt"  # Должно быть запрещено seccomp
docker exec locked_app sh -c "echo test > /etc/test"  # Должно быть запрещено AppArmor{}
    

✅Комбинируем оба профиля для максимальной изоляции

    
        docker run -d \
  --security-opt seccomp=./custom-seccomp.json \
  --security-opt apparmor=docker-custom \
  --cap-drop=ALL --cap-add=NET_BIND_SERVICE \
  --name fortress nginx:alpine{}
    

--cap-drop=ALL сбрасываем ВСЕ возможности, потом добавляем только необходимые (NET_BIND_SERVICE для веб-сервера). 🚨 Аудит и мониторинг

    
        sudo aa-status  # Покажет активные профили AppArmor
ausearch -c docker --raw | aureport -x --summary  # Ищем события seccomp в audit логах
docker events --filter 'event=die'  # Смотрим, если контейнеры умирают из-за политик{}
    

Итог: контейнер в железной клетке. Никакого выхода на хост, только разрешённые syscall'ы и доступ к файлам. Дефолтной уязвимости - конец. Hacking & InfoSec Base  | Вакансии | Чат | #Статья

🔒 Безопасность Docker: уходим от дефолтной хрени к seccomp и AppArmor Стандартные контейнеры Docker - это монстр привилегий. Вместо тюрьмы запускаем почти голую ОС. Разберём, как прикрыть этот дебильный зад кастомными профилями изоляции за 15 минут. 1️⃣ Анализ текущей уязвимости

    
        docker inspect --format='{{.HostConfig.Privileged}}' <container>
docker inspect --format='{{.HostConfig.SecurityOpt}}' <container>{}
    

Увидите true или пустоту - это пиздец. Привилегированный контейнер = доступ к хосту. 2️⃣ Кастомный профиль seccomp (блокируем системные вызовы) Скачаем дефолтный профиль, отредактируем:

    
        wget https://raw.githubusercontent.com/moby/moby/master/profiles/seccomp/default.json -O custom-seccomp.json
nano custom-seccomp.json{}
    

Добавим блокировку опасных вызовов:

    
        "syscalls": [
  {
    "names": ["clone", "fork", "kill", "mount", "setns", "unshare"],
    "action": "SCMP_ACT_ERRNO"
  }
]{}
    

3️⃣ Запуск контейнера с кастомным seccomp

    
        docker run -d --security-opt seccomp=./custom-seccomp.json --name secured_app nginx:alpine{}
    

4️⃣ Написание профиля AppArmor (ограничение файлов/сетей)

    
        sudo aa-genprof /usr/sbin/docker
# Запустится в режиме обучения. Шлите трафик в контейнер, он запишет правила.
sudo aa-logprof
# Применяем сгенерированный профиль (например, docker-default){}
    

Или ручкой создадим /etc/apparmor.d/docker-custom:

    
        # Включим базовый профиль
#include <tunables/global>

profile docker-custom flags=(attach_disconnected,mediate_deleted) {
  # Запретим запись в системные директории
  deny /etc/** w,
  deny /usr/lib/** w,
  deny /sys/** w,

  # Разрешим только исходящие сетевые подключения на 80 и 443
  network inet tcp,
  network inet6 tcp,
  deny network inet udp,
  deny network raw,
}{}
    

Загружаем и применяем:

    
        sudo apparmor_parser -r /etc/apparmor.d/docker-custom
docker run -d --security-opt apparmor=docker-custom --name locked_app nginx{}
    

5️⃣Тестирование изоляции Попробуем внутри контейнера сделать что-то запрещённое:

    
        docker exec secured_app sh -c "whoami"
docker exec secured_app sh -c "mount -t tmpfs tmpfs /mnt"  # Должно быть запрещено seccomp
docker exec locked_app sh -c "echo test > /etc/test"  # Должно быть запрещено AppArmor{}
    

✅Комбинируем оба профиля для максимальной изоляции

    
        docker run -d \
  --security-opt seccomp=./custom-seccomp.json \
  --security-opt apparmor=docker-custom \
  --cap-drop=ALL --cap-add=NET_BIND_SERVICE \
  --name fortress nginx:alpine{}
    

--cap-drop=ALL сбрасываем ВСЕ возможности, потом добавляем только необходимые (NET_BIND_SERVICE для веб-сервера). 🚨 Аудит и мониторинг

    
        sudo aa-status  # Покажет активные профили AppArmor
ausearch -c docker --raw | aureport -x --summary  # Ищем события seccomp в audit логах
docker events --filter 'event=die'  # Смотрим, если контейнеры умирают из-за политик{}
    

Итог: контейнер в железной клетке. Никакого выхода на хост, только разрешённые syscall'ы и доступ к файлам. Дефолтной уязвимости - конец. Hacking & InfoSec Base  | Вакансии | Чат | #Статья

Правда и мифы о Threat Intelligence Feeds: как работать с фидами Вебинар | 📆 29 января 14:00 (МСК) Центр экспертизы сетевой безопасности Гарды опросил инженеров ИБ и аналитиков SOC из российских компаний и выяснил, пользуются ли они фидами, какие источники у них в приоритете и с какими «подводными камнями» сталкиваются. ✔️ Действительно ли Threat Intelligence Feeds приводят к большому количеству фолзов? ✔️ Фиды подходят только гигантам с армией экспертов и огромными бюджетами? ✔️ Как выстроить защиту, которая предугадывает угрозы? На вебинаре эксперты поделятся результатами исследования и практическими рекомендациями. ☑️ Для участия нужно зарегистрироваться👍 #реклама О рекламодателе

🔎 Знакомство с Nmap (CyberSecurity) + Компьютерные сети Этот курс посвящён работе с Nmap — одним из самых популярных инструментов для сканирования сетей и оценки их безопасности. Мы научимся устанавливать Nmap на Kali Linux, разберём основные команды и синтаксис, освоим базовые техники сканирования. ➡️ Пройти курс Hacking & InfoSec Base  | Вакансии | Чат || #Курсы

Кто УПРАВЛЯЕТ ИНТЕРНЕТОМ? А Может Быть И ВСЕМ МИРОМ!

📹Первоисточник

Hacking & InfoSec Base | Вакансии | Чат || #Видео

Dropbear: мобильный SSH-сервер и автосмена ключей Dropbear - это хрень, но офигенная: компактный SSH-сервер и клиент для встраиваемых и мобильных систем (Android, OpenWRT). Идеален, когда от каждой копейки зависит - низкое потребление памяти и CPU. ⚙️ Зачем он на телефоне?

▶️ Удаленное управление смартфоном через терминал ▶️ Портфорвардинг, туннели, файловые операции ▶️ Запуск скриптов и демонов прямо на девайсе ▶️ Альтернатива тяжеловесному OpenSSH

⚡️ Быстрая настройка на Android (через Termux): Установка Dropbear:

    
        pkg update
pkg install dropbear{}
    

Генерация и настройка ключей:

    
        dropbearkey -t ed25519 -f ~/.ssh/id_dropbear
dropbearkey -y -f ~/.ssh/id_dropbear | grep "^ssh-ed25519" > ~/.ssh/authorized_keys{}
    

Запуск сервера с паролем или по ключу:

    
        dropbear -F -E -m -s -j -k -p 8022{}
    

Автоматическая ротация ключей (скрипт для cron/anacron):

    
        #!/data/data/com.termux/files/usr/bin/bash
cd ~/.ssh
mv id_dropbear id_dropbear.old
dropbearkey -t ed25519 -f id_dropbear
dropbearkey -y -f id_dropbear | grep "^ssh-ed25519" > authorized_keys
pkill -HUP dropbear{}
    

➡️ Официальный сайт Hacking & InfoSec Base  | Вакансии | Чат | #Статья

🔠 Курс, который Сфинкс создавал для обучения новых ребят! ↘️ @Logovo_Sphinxa сделал курс для ИБэшников от нуля до джуна на инфре (сделан упор на Acttive Directory)! Осваеваем реальные кейсы — тебя ждут 28 лабораторий, с полным разбором и объяснением.

↘️ Что в программе: — Nmap (обход фильтров) — C2, payloads, pivoting — Privesc Linux/Windows — Атаки на Active Directory — Фишинг (обход 2FA) + AV-bypass — Резюме + собесы

❌ Только внутренняя сеть, минимум — web. 📰 28.01 — 02.05 (3 мес). 20к ₽. 18 мест — персональное обучение и обратная связь от создателей! Запись: через админа @sphqx. ⚡️ Подробности тут. P.S. админ уже записался)) Берем?

👀 Простое и наглядное объяснение как работает вирус OIETIF Hacking & InfoSec Base || #Видео

Что отличает умного айтишника от глупого? Нет, не знание десятка языков и фреймворков. И даже не многолетний опыт работы. Умного от тупого отличает понимание одной фундаментальной вещи — важно не СКОЛЬКО ты умеешь, а ЧТО. И те, кто понял это раньше — уже обходят 90% матёрых спецов. Потому что точечно учат ровно то, что требуется рынку прямо сейчас. Если хотите показать, кто тут батя и быстро войти в списки лучших — почитайте канал @devsp. Там LLM разработчик делится ценнейшим опытом и рассказывает, как в пару месяцев упаковать 5–6 лет хаотичного обучения. Это однозначно один из лучших айтишных каналов, посмотрите сами: @devsp