我最近发现,OpenVZ 默认在容器内挂载 /proc 的方式并不安全(它被挂载为 rw)。当与服务器上不安全的脚本结合时,这将产生如下所述的漏洞:
https://www.exploit-db.com/papers/12886/
解决此漏洞的一个方法是服务器上不安装不安全的脚本。但是,如果做不到这一点,那么首先不要以不安全的方式挂载 /proc 也是关闭此漏洞的明智之举。
在物理 Linux 机器上,可以通过运行以下命令来修复此漏洞:
mount -o remount,nosuid,noexec /proc
但是,这在容器内不起作用。至少现在不行了。它以前在 Proxmox 1.9 (vzkernel-2.6.32-042stab037.1) 下可以工作。但是,现在我在 Proxmox 3.1 (vzkernel-2.6.32-042stab079.5) 下运行 OpenVZ,我得到了以下信息:
~# mount -o remount,nosuid,noexec /proc
mount: mount failed
在 LXC 中,我注意到可以使用容器配置中的 lxc.mount.auto 配置选项指定 /proc 属性。我还不知道如何在 OpenVZ 中执行此操作。
我已经尝试从容器内部的 /etc/fstab 设置挂载选项,但似乎被忽略了。
有任何想法吗?