Ich habe kürzlich entdeckt, dass die Art und Weise, wie OpenVZ /proc standardmäßig in Containern mountet, nicht so sicher ist, wie sie sein könnte (es wird als rw gemountet). In Kombination mit unsicheren Skripten auf dem Server entsteht dadurch eine Schwachstelle wie hier beschrieben:
https://www.exploit-db.com/papers/12886/
Eine Lösung für diese Sicherheitslücke wäre, keine unsicheren Skripte auf dem Server zu haben. Wenn das jedoch nicht gelingt, ist es sinnvoll, diese Sicherheitslücke auch zu schließen, indem /proc von vornherein nicht unsicher gemountet wird.
Auf einer physischen Linux-Maschine kann diese Sicherheitslücke durch Ausführen des folgenden Befehls geschlossen werden:
mount -o remount,nosuid,noexec /proc
Dies funktioniert jedoch nicht innerhalb von Containern. Zumindest nicht mehr. Unter Proxmox 1.9 (vzkernel-2.6.32-042stab037.1) funktionierte es noch. Aber jetzt verwende ich OpenVZ unter Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) und bekomme Folgendes:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
In LXC habe ich festgestellt, dass /proc-Attribute mit der Konfigurationsoption lxc.mount.auto in der Containerkonfiguration angegeben werden können. Ich konnte nicht herausfinden, wie das in OpenVZ geht.
Ich habe bereits versucht, die Mount-Optionen von /etc/fstab im Container festzulegen, aber das scheint ignoriert zu werden.
Irgendwelche Ideen?