我最近發現 OpenVZ 預設情況下在容器內安裝 /proc 的方式並不那麼安全(它安裝為 rw)。當與伺服器上不安全的腳本結合使用時,會產生如下所述的漏洞:
https://www.exploit-db.com/papers/12886/
針對此漏洞的一種解決方案是伺服器上沒有不安全的腳本。然而,如果做不到這一點,透過先不安全地安裝 /proc 來關閉此漏洞也是有意義的。
在實體 Linux 機器上,可以透過執行以下命令來關閉此漏洞:
mount -o remount,nosuid,noexec /proc
然而,這在容器內部不起作用。至少現在不再這樣了。它曾經在 Proxmox 1.9 (vzkernel-2.6.32-042stab037.1) 下工作。但是,現在我在 Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) 下運行 OpenVZ,我得到了這個:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
在 LXC 中,我注意到 /proc 屬性可以使用容器配置中的 lxc.mount.auto 配置選項來指定。我一直不知道如何在 OpenVZ 中做到這一點。
我已經嘗試從容器內的 /etc/fstab 設定安裝選項,但這似乎被忽略了。
有任何想法嗎?