Недавно я обнаружил, что способ, которым OpenVZ монтирует /proc внутри контейнеров по умолчанию, не так безопасен, как мог бы быть (он монтируется как rw). В сочетании с небезопасными скриптами на сервере это создает уязвимость, описанную здесь:
https://www.exploit-db.com/papers/12886/
Одним из решений этой уязвимости было бы отсутствие небезопасных скриптов на сервере. Однако, если это не удастся, имеет смысл также закрыть эту уязвимость, не монтируя /proc небезопасно в первую очередь.
На физическом компьютере Linux эту уязвимость можно закрыть, выполнив следующую команду:
mount -o remount,nosuid,noexec /proc
Однако это не работает внутри контейнеров. По крайней мере, больше не работает. Раньше это работало под Proxmox 1.9 (vzkernel-2.6.32-042stab037.1). Но теперь я запускаю OpenVZ под Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) и получаю это:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
В LXC я заметил, что атрибуты /proc можно указать с помощью параметра конфигурации lxc.mount.auto в конфигурации контейнера. Я не смог понять, как это сделать в OpenVZ.
Я уже пробовал устанавливать параметры монтирования из /etc/fstab внутри контейнера, но, похоже, они игнорируются.
Есть идеи?