VO
это и есть деление
Size: a a a
2021 July 18
AS
А это вряд-ли.
AS
Да, вроде тоже норм
VO
не врядли
DF
Как же он может поставить если доступ к репам отрезан?
a
Так фишка то как раз в том, что он может в tgz без реп протащить эксплойт и собрать его через докер, после чего либо посмотреть в памяти, либо сначала повысить capabilities себе, а потом посмотреть.
a
причём есть шанс, что даже таскать не надо - можно просто вбить с консоли.
DF
Ну с тем же успехом он это может и на хосте сделать. А настроить мониторинг и логирование команд из докера не сложнее обычного сервера
a
Там по идее должен быть noexec. Смысл в том, что в pci dss-заточенной системе контролируется юзерспейс. Но если есть докер, то юзерспейс - произвольный.
a
Я так понимаю, что сейчас хотя бы можно докер без рутовых прав запускать. Но вот инструкций по достаточности для аудиторов нигде не видел.
VO
э, почему? т.е. если ты довел хост до того, что у тебя юзерспейс контролируем, то что мешает оставить его контролориуемым с докером?
по сути докер -- это настройка iptables, name space и пачка mount bind.
по сути докер -- это настройка iptables, name space и пачка mount bind.
a
... А еще демон, который может пускать приложения с рутовыми правами.
VO
отруби ему эту возможность. или зарежь. если оно вообще не настройкой дклается (лень смотреть). sudo в пример
a
Ладно, тут, наверное, вопросы про докеры и прочее оффтопик. Я ещё свой велосипед покажу в докеро-чатике, может кто-нибудь что-то дельное скажет
a
Еще бы знать, что еще отрубать. Т.к. делать это буду не я, и этим людям надо дать инструкции.
VO
ну свою обертку сделай
AS
Блин, ну Вы хотя бы ссылочкой каокй-то что ли подкрепили.
Проверю)
Проверю)
AS
Ещё подумал и понял, что тут остаток от деления будет на фиксированное число, значит с большой вероятностью можно свести к +, -, * в процессоре над интом.
AS
Нашёл во такую статью:
http://ithare.com/infographics-operation-costs-in-cpu-clock-cycles/
Там ничего нету про остаток от делелния.
Видимо действительно остаток считается тупо так же, как и челочисленное деление.
http://ithare.com/infographics-operation-costs-in-cpu-clock-cycles/
Там ничего нету про остаток от делелния.
Видимо действительно остаток считается тупо так же, как и челочисленное деление.
VO
какую блин ссылочку? на intel command set? где для целых чисел есть только idiv разной размерности, который и делает сразу и остаток и частное?