我最近发现OpenVZ默认挂载/ proc的方式并不像安装的那样安全(它被挂载为rw)。 如果与服务器上的不安全脚本结合使用,则会造成如下所述的漏洞:
https://www.exploit-db.com/papers/12886/
这个漏洞的一个解决scheme是在服务器上没有不安全的脚本。 然而,如果没有这个,那么通过不首先安装/ proc不安全的方式来closures这个漏洞也是有意义的。
在物理Linux机器上,可以通过运行以下命令来closures此漏洞:
mount -o remount,nosuid,noexec /proc 但是,这在容器内部不起作用。 至less现在不行了 它曾经在Proxmox 1.9(vzkernel-2.6.32-042stab037.1)下工作。 但是,现在我正在Proxmox 3.1(vzkernel-2.6.32-042stab079.5)下运行OpenVZ,我得到这个:
~# mount -o remount,nosuid,noexec /proc mount: mount failed
在LXC中,我注意到可以使用容器configuration中的lxc.mount.autoconfiguration选项来指定/ proc属性。 我一直无法弄清楚如何在OpenVZ中做到这一点。
我已经尝试从容器内的/ etc / fstab设置挂载选项,但似乎被忽略。
有任何想法吗?