最近、OpenVZ がデフォルトでコンテナ内に /proc をマウントする方法が、十分に安全ではない (rw としてマウントされる) ことを発見しました。サーバー上の安全でないスクリプトと組み合わせると、ここで説明する脆弱性が生じます。
出典:http://www.exploit-db.com/papers/12886/
この脆弱性に対する 1 つの解決策は、サーバー上に安全でないスクリプトを置かないようにすることです。ただし、それができない場合は、そもそも /proc を安全にマウントしないようにすることで、この脆弱性を解消することも理にかなっています。
物理 Linux マシンでは、次のコマンドを実行することでこの脆弱性を解消できます。
mount -o remount,nosuid,noexec /proc
ただし、これはコンテナー内では機能しません。少なくとも、もう機能しません。以前は Proxmox 1.9 (vzkernel-2.6.32-042stab037.1) で機能していました。しかし、現在、OpenVZ を Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) で実行しており、次のエラーが発生します。
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
LXC では、コンテナ設定の lxc.mount.auto 設定オプションを使用して /proc 属性を指定できることに気付きました。OpenVZ でこれを行う方法がわかりません。
コンテナ内の /etc/fstab からマウント オプションを設定しようとしましたが、無視されているようです。
何か案は?