Недавно я обнаружил, что способ, которым OpenVZ монтирует / proc внутри контейнеров по умолчанию, не так безопасен, как мог бы (он монтируется как rw). В сочетании с небезопасными скриптами на сервере это создает уязвимость, как описано здесь:
https://www.exploit-db.com/papers/12886/
Одним из решений этой уязвимости может быть отсутствие на сервере небезопасных скриптов. Однако, если это не удается, имеет смысл также закрыть эту уязвимость, предварительно исключив небезопасное монтирование / proc.
На физическом компьютере Linux эту уязвимость можно закрыть, запустив следующее:
mount -o remount,nosuid,noexec /proc
Однако внутри контейнеров это не работает. По крайней мере, это больше не так. Раньше он работал под Proxmox 1.9 (vzkernel-2.6.32-042stab037.1). Но теперь я запускаю OpenVZ под Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) и получаю следующее:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
В LXC я заметил, что атрибуты / proc можно указать с помощью параметра конфигурации lxc.mount.auto в конфигурации контейнера. Я не смог понять, как это сделать в OpenVZ.
Я уже пробовал установить параметры монтирования из / etc / fstab внутри контейнера, но, похоже, это игнорируется.
Любые идеи?