Recientemente descubrí que la forma en que OpenVZ monta /proc dentro de los contenedores de forma predeterminada no es tan segura como podría ser (está montado como rw). Cuando se combina con scripts inseguros en el servidor, esto crea una vulnerabilidad como se describe aquí:
https://www.exploit-db.com/papers/12886/
Una solución a esta vulnerabilidad sería no tener scripts inseguros en el servidor. Sin embargo, en caso contrario, tiene sentido cerrar también esta vulnerabilidad al no tener /proc montado de forma insegura en primer lugar.
En una máquina Linux física, esta vulnerabilidad se puede cerrar ejecutando esto:
mount -o remount,nosuid,noexec /proc
Sin embargo, esto no funciona dentro de los contenedores. Al menos ya no es así. Solía funcionar con Proxmox 1.9 (vzkernel-2.6.32-042stab037.1). Pero ahora estoy ejecutando OpenVZ en Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) y aparece esto:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
En LXC, noté que los atributos /proc se pueden especificar usando la opción de configuración lxc.mount.auto en la configuración del contenedor. No he podido descubrir cómo hacer esto en OpenVZ.
Ya intenté configurar las opciones de montaje desde /etc/fstab dentro del contenedor, pero parece que se ignora.
¿Algunas ideas?