Recentemente, descobri que o modo como o OpenVZ é montado / proc dentro de contêineres por padrão não é tão seguro quanto poderia ser (ele é montado como rw). Quando combinado com scripts inseguros no servidor, isso cria uma vulnerabilidade conforme descrito aqui:
Uma solução para esta vulnerabilidade seria não ter scripts inseguros no servidor. No entanto, caso contrário, faz sentido também fechar essa vulnerabilidade por não ter o / proc montado inseguramente em primeiro lugar.
Em uma máquina Linux física, esta vulnerabilidade pode ser fechada executando isto:
mount -o remount,nosuid,noexec /proc
No entanto, isso não funciona dentro de contêineres. Pelo menos não mais. Ele costumava trabalhar com o Proxmox 1.9 (vzkernel-2.6.32-042stab037.1). Mas agora estou executando o OpenVZ no Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) e recebo o seguinte:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
No LXC, notei que os atributos / proc podem ser especificados usando a opção de configuração lxc.mount.auto na configuração do contêiner. Eu não consegui descobrir como fazer isso no OpenVZ.
Eu já tentei configurar as opções de montagem do / etc / fstab dentro do container, mas isso parece ser ignorado.
Alguma idéia?