Recentemente descobri que a maneira como o OpenVZ monta /proc dentro de contêineres por padrão não é tão segura quanto poderia ser (é montado como rw). Quando combinado com scripts inseguros no servidor, isso cria uma vulnerabilidade conforme descrito aqui:
https://www.exploit-db.com/papers/12886/
Uma solução para esta vulnerabilidade seria não ter scripts inseguros no servidor. No entanto, caso contrário, faz sentido também fechar esta vulnerabilidade, não tendo /proc montado de forma insegura em primeiro lugar.
Em uma máquina Linux física, esta vulnerabilidade pode ser fechada executando isto:
mount -o remount,nosuid,noexec /proc
No entanto, isso não funciona dentro de contêineres. Pelo menos isso não acontece mais. Costumava funcionar no Proxmox 1.9 (vzkernel-2.6.32-042stab037.1). Mas agora estou executando o OpenVZ no Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) e recebo isto:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
No LXC, notei que os atributos /proc podem ser especificados usando a opção de configuração lxc.mount.auto na configuração do contêiner. Não consegui descobrir como fazer isso no OpenVZ.
Já tentei definir as opções de montagem de /etc/fstab dentro do contêiner, mas isso parece ser ignorado.
Alguma ideia?