1.美国政府挫败了与俄罗斯有关的从事网络间谍活动的僵尸网络美国政府于星期四表示，他们成功挫败了一个由数百个小型办公室和家庭办公室（SOHO）路由器组成的僵尸网络。该网络被与俄罗斯有关的APT28组织利用，以掩盖其恶意活动。美国司法部（DoJ）在一份声明中表示：“这些犯罪活动包括针对俄罗斯政府感兴趣的情报目标进行的大规模鱼叉式网络钓鱼和类似的凭证收集活动，例如美国和外国政府以及军事、安全和企业组织。”APT28，也被称为BlueDelta、FancyBear、FightingUrsa、ForestBlizzard（前称Strontium）、FROZENLAKE、IronTwilight、Pawn

Bleeping Computer 网站消息，2023年11月，Snyk安全研究员RoryMcNamara发现了四个统称为"LeakyVessels"的漏洞群。据悉，这些漏洞允许威胁攻击者逃离容器并访问底层主机操作系统上的数据信息。发现安全漏洞问题后，安全研究员立即将这一问题报告给了受影响的各方，以便进行及时修复。值得一提的是，安全研究员没有发现泄漏容器漏洞在野外被积极利用的迹象，但是还是建议所有受影响的系统管理员尽快应用可用的安全更新。安全漏洞影响范围广泛，危害极大容器是打包到一个文件中的应用程序，包含运行应用程序所需的所有运行时依赖项、可执行文件和代码，一般由Docker和Kubernet

阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。本文分享自华为云社区《云小课｜Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告》，作者：阅识风云。近日，华为云主机安全服务团队关注到runc官方发布安全公告，披露runc1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。runc官方公告详情参考：severalcontainerbreakoutsduetointernallyleakedfds·Advisory·

文章目录环境问题及现象解决方案查看现有libseccomp版本卸载低版本libseccomp安装高版本libseccomp解决后现象原理参考环境#cat/etc/redhat-releaseCentOSLinuxrelease8.0.1905(Core)#uname-r4.18.0-348.rt7.130.el8.x86_64问题及现象pod的状态全部都是ContainerCreating的状态containerd进程有大量报错，主要有：failedtocreatecontainerdtask:failedtocreateshimtask:OCIruntimecreatefailed:unab

阅识风云是华为云信息大咖，擅长将复杂信息多元化呈现，其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。runc官方发布安全公告，披露runc1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。本文分享自华为云社区《云小课｜Runc容器逃逸漏洞（CVE-2024-21626）安全风险通告》，作者：阅识风云。近日，华为云主机安全服务团队关注到runc官方发布安全公告，披露runc1.1.11及更早版本中存在容器逃逸漏洞，攻击者会利用该漏洞导致容器逃逸，进一步获取宿主机权限。runc官

1.先下载runc源码：https://github.com/opencontainers/runc/releases/tag/v1.0.32.我的是centos8 运行以下代码yuminstall-ylibseccomp-devel3.安装go环境 wgethttps://studygolang.com/dl/golang/go1.16.linux-amd64.tar.gz tar-C/usr/local-xzfgo1.16.linux-amd64.tar.gz4.添加配置：进去到vi/etc/profileexportGOROOT=/usr/local/goexportGOPATH=/ho

背景：新项目，要接手另一个k8s集群，那个集群是kubernates1.24的rke2版本，里面已经不用docker容器了，使用了containerd容器来生成pod，因此需要变化我们以前的docker使用方式。首先第一步需要把harbor的镜像由http更改为https。开始：这里我使用harbor安装的ip【10.38.199.203】地址来生成证书，也可以自己定义一个域名，自定义域名后需要在kubernates的worker节点把域名和地址配置到host里面。一：生成CA证书使用openssl生成ca证书，ca.key#生成CA证书私钥opensslgenrsa-outca.key409

目录一、理论1.K8S集群升级2.环境3.升级策略4.master1节点迁移容器运行时(docker→containerd) 5.master2节点迁移容器运行时(docker→containerd) 6.node1节点容器运行时迁移(docker→containerd) 7.升级集群计划（v1.23.14→ v1.24.1）8.升级master1节点版本（v1.24.1）9.升级master2节点版本（v1.24.1）10.升级node1节点版本（v1.24.1）11.验证集群（v1.24.1）二、实验1.环境2.master1节点迁移容器运行时(docker→containerd) 3.m

一.系统环境初始化，所有节点都要做 服务器清单 10.12.121.190k8s-01-master 10.12.121.191k8s-01-node 根据实际更改初始化化hosts解析以及hostname，改完以后直接分别在master，node节点上执行执行 #配置服务器时间保持一致yuminstall-ychronysystemctlenablechronydsystemctlrestartchronyd#关闭交换空间、关闭防火墙、禁用selinux、修改hosts文件#关闭交换空间sudoswapoff-ased-ri's/.*swap.*/#&/'/etc/fstab#关闭防火墙和禁

一.系统环境初始化，所有节点都要做 服务器清单 10.12.121.190k8s-01-master 10.12.121.191k8s-01-node 根据实际更改初始化化hosts解析以及hostname，改完以后直接分别在master，node节点上执行执行 #配置服务器时间保持一致yuminstall-ychronysystemctlenablechronydsystemctlrestartchronyd#关闭交换空间、关闭防火墙、禁用selinux、修改hosts文件#关闭交换空间sudoswapoff-ased-ri's/.*swap.*/#&/'/etc/fstab#关闭防火墙和禁