Search
這週三晚上的「精準寫作力」平日班線上課,學生來自台北、新竹、苗栗、台中、台南與高雄,我則在花蓮的飯店講課。
這週六晚上的「精準寫作力」假日班線上課,更神奇。除了台灣各地的學生,還有兩位馬來西亞的學生(他們是我在馬來西亞開故事行銷課程的學生),另外還有在捷克布拉格創業的學生(台灣人),實在太有趣了。
線上課與實體課上課方式不同。同樣需要實作與討論,但是我刻意不運用分組、開房間、或線上便利貼軟體。
我要讓學習更簡單。就是透過提問,大家在聊天室精準留言,我根據情況點名回答,大家也會在留言板聚精會神的思考與回應。
實作練習上不會變少,會根據進度發教材來練習,再進行提問討論的循環。
第一天上完,效果蠻好的,但最重要的還是課後作業的練習與點評。
就如同我在三堂風土創業學線上工作坊的運課心得,大家在課前做好準備,課堂上報告與點評討論,我透過提問讓思考更聚焦與精確,大家全程投入,依然有具體的收穫。
因此,線上互動式課程需要更精密的設計,簡單而仔細,學生在課前與課後做好充足準備,還是有學習效果。
⚾️第一屆香菇盃棒球大賽⚾️
相信認識香菇的朋友都知道香菇熱愛棒球遊戲
這次香菇要來辦比賽啦🎉🎉🎉
比賽所使用的棒球遊戲為「Pro野球VS 日服」,歡迎有玩這款棒球遊戲的朋友們來報名參加。
👇以下為比賽詳細說明👇
【活動說明】
1. 本次活動預計選出 32 位選手,從16強開始比賽。
2. 比賽對手香菇將以Youtube、Twitch直播抽籤的方式來決定分組。
3. 比賽採單淘汰制,比賽設定為 3 局,若平手將再開一場兩局比賽(突破僵局制)
4. 突破僵局制先發投手將不算進消耗,保送兩名打者後必須更換後援投手,後援投手必須以未登場過之球員。
※報名人數若超過32人,將以積分為優先順位(當日Ratting為準)
※若使用到重覆已經使用過不得上場之球員,將判定失格。
【比賽規則】
1. 比賽當日以積分較高者為後攻,較低者為先攻。
2. 比賽中先發投手均只能使用一次。※同名選手只能登場一次
3. 比賽中後援投手若使用後必須隔場後才能再次使用。
4. 每場比賽結束後都必須截圖比賽「詳細」→「投手成績」頁面,以確認所有使用過的投手。
5. 若比賽過程中遇到其中一方斷線,將視為比賽持續進行中。
6. 若比賽遇到 BUG 異常...等 不可抗拒之因素,請及時與比賽群組回報。
7. 比賽只能使用混隊隊伍來進行,禁止使用自球團隊伍
⚾【報名辦法】
本次活動報名費用為「新台幣 100 元」 ※確定入選後才需繳費
請在此活動貼文留下你在遊戲中的名稱(以便後續確認RATTING)
⏰報名截止日期至 9 月 11 日 23:59 ( 六 )
⚾【比賽獎勵】
本次比賽獎勵,將以報名費用的總額來規劃分配,也歡迎球友們熱情贊助。
冠軍:新台幣 1500 元、可額外從贊助商品挑選一樣獎勵。
亞軍:新台幣 1000 元
季軍:新台幣 700 元
⚾【比賽時間】
在確認報名選手名單後,將會拉比賽專用群組,統一討論比賽時間
(預計在中秋連假把整個賽程打完)
⚠比賽規格若有 新增 或 調整更動 將會更新至此活動貼文
辦比賽的目的只是好玩有趣,希望讓台灣的玩家們可以互相交流,無任何營利目的,歡迎大家踴躍報名。
贊助名單(持續更新):
香菇 – 職棒球員「廖健富」簽名球一顆
胖虎 – 職棒球員「廖于誠」簽名球一顆
ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
【免費下載 】2021年最佳射擊遊戲之一🎯𝗙𝗥𝗔𝗚 𝗣𝗥𝗢 𝗦𝗛𝗢𝗢𝗧𝗘𝗥 : https://bit.ly/3kfKyiy
點擊鏈接立即獲取價值6美元的額外獎勵~包括1個黃金寶箱🎁+500金幣💰+50鑽石💎+1個神秘禮物✨!
嘿!兄弟!今天我們來玩5v5友誼賽啦!布萊恩戰隊對決一子戰隊呢!我們主要玩的英雄就是碧兒,布洛克,辣椒,蓓爾和滴答!只要團滅掉對方所有人,就可以贏取該場遊戲啦!以BO5方式進行友誼賽,哪方優先贏取3分就是今天友誼賽的大贏家啦!
⭐️加入DISCORD⭐️
https://discord.gg/heybrother
⭐️荒野亂逗⭐️荒野亂鬥動畫系列⭐️
http://tiny.cc/o6rsez
⭐️荒野研究所⭐️小知識與技巧分享⭐️
https://goo.gl/bHr1fg
⭐️上盃攻略⭐️心得與技巧分享⭐️
https://goo.gl/Hhqc51
⭐️播放清單⭐️2019⭐️
https://shorturl.at/cKMVX
#荒野亂鬥 #嘿兄弟 #創作者代碼heybrother
嘿!兄弟!今天我們來玩極限淘汰賽啦!老布為了人頭居然不好好玩遊戲!專門開啟超級火箭撿人頭?快來看看他是怎麼做到的吧!希望兄弟們會喜歡今天的影片!
⭐️加入DISCORD⭐️
https://discord.gg/heybrother
⭐️荒野亂逗⭐️荒野亂鬥動畫系列⭐️
http://tiny.cc/o6rsez
⭐️荒野研究所⭐️小知識與技巧分享⭐️
https://goo.gl/bHr1fg
⭐️上盃攻略⭐️心得與技巧分享⭐️
https://goo.gl/Hhqc51
⭐️播放清單⭐️2019⭐️
https://shorturl.at/cKMVX
#荒野亂鬥 #嘿兄弟 #創作者代碼heybrother
嘿!兄弟!今天我們就來說一說格里夫挑戰賽啦!相信之前有看BRAWL TALK的兄弟們都知道!格里夫將可以通過挑戰的方式免費獲取!而這挑戰賽的詳情你知道了嗎?希望兄弟們喜歡今天的影片!
⭐️加入DISCORD⭐️
https://discord.gg/heybrother
⭐️荒野亂逗⭐️荒野亂鬥動畫系列⭐️
http://tiny.cc/o6rsez
⭐️荒野研究所⭐️小知識與技巧分享⭐️
https://goo.gl/bHr1fg
⭐️上盃攻略⭐️心得與技巧分享⭐️
https://goo.gl/Hhqc51
⭐️播放清單⭐️2019⭐️
https://shorturl.at/cKMVX
#荒野亂鬥 #嘿兄弟 #創作者代碼heybrother
在為期四個月的計畫期間,邀請業界的系友擔任小組的業師,透過分組討論的方式,協助系上學生完成有趣的資料科學專案。 2019.02.18 00:00 開始報名. [注意事項]本屆深度資料 ... ... <看更多>
有趣分組方式 在 神马团康社- #游戏玩国08 【分组快乐!有效有趣 ... - Facebook 的推薦與評價
游戏玩国08 【分组快乐!有效有趣的分组方式!】 每次举办营会、课程、或活动时,有时会遇到需要分组的情况。这种时候,如何好好地分组,是活动带领者最考功夫的一环。 ... <看更多>