나는 최근에 OpenVZ가 기본적으로 컨테이너 내부에 /proc을 마운트하는 방식이 가능한 만큼 안전하지 않다는 것을 발견했습니다(rw로 마운트됨). 서버의 안전하지 않은 스크립트와 결합되면 여기에 설명된 취약점이 생성됩니다.
https://www.exploit-db.com/papers/12886/
이 취약점에 대한 한 가지 해결책은 서버에 안전하지 않은 스크립트를 두지 않는 것입니다. 그러나 이것이 실패하면 애초에 /proc를 안전하지 않게 마운트하지 않음으로써 이 취약점을 닫는 것이 합리적입니다.
실제 Linux 시스템에서는 다음을 실행하여 이 취약점을 해결할 수 있습니다.
mount -o remount,nosuid,noexec /proc
그러나 이는 컨테이너 내부에서는 작동하지 않습니다. 적어도 더 이상은 그렇지 않습니다. Proxmox 1.9(vzkernel-2.6.32-042stab037.1)에서 작동했습니다. 하지만 이제 Proxmox 3.1(vzkernel-2.6.32-042stab079.5)에서 OpenVZ를 실행하고 있으며 다음과 같은 결과를 얻습니다.
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
LXC에서는 컨테이너 구성의 lxc.mount.auto 구성 옵션을 사용하여 /proc 속성을 지정할 수 있다는 것을 확인했습니다. OpenVZ에서 이 작업을 수행하는 방법을 알 수 없었습니다.
이미 컨테이너 내부의 /etc/fstab에서 마운트 옵션 설정을 시도했지만 무시되는 것 같습니다.
어떤 아이디어가 있나요?