我有一个从1und1 10欧元/月的vServer,我知道这不是一个专用的机器(这意味着我有更less的控制)。 我知道我可以使用一些系统作为根,但内核是不可接触的。 所以我想知道LSM是否可以使用?
因为我期望LSM是一个内核特性,在我看来,这样的LSM只有在内核被提供了特性的时候才可以使用,对吧?
也许给出这个推理的问题可以被分解成:
第1部分)是否总是不可能有一个vServer做一些LSM的东西? 第2部分)还是有时可能在这样的vServer上有apparmor / sellinux等?
甚至3)有没有一种方法可以检查内核中是否启用了LSM
如果问题不明确,请随时添加评论。 如果问题是错误的(即如果不能清楚地说出是否可能,请帮助我指出问题!)
最后但并非最不重要的,如果这个问题似乎不合适(即如果它应该在U&L SE)告诉我!
如果我记得1&1正在使用Parallels Bare Metal作为VPS产品。
1)因此(并提到你的文章),你经常无法运行你的VPS自定义内核或修改。 所以你仅限于内核和主机节点提供的模块/function。
2)其他虚拟机pipe理程序(例如KVM / Xen)通常会给您更多的关于VPS内核和相关function的控制。 只要托pipe公司支持它,你可以拥有一个function齐全的操作系统,只要你有自己的内核和模块。 这个stock-kernel通常包含一个像SELinux / AppArmor这样的LSM模块(取决于发行版)。
如果你想要的话,你可以在这里更进一步,编译你自己用GRSecurity / PaX增强的内核。 但请记住它是VPS,因此和主机系统一样安全。
3) SELinux:尝试sestatus或getenforce
AppArmor:尝试apparmor_status
(应该也可以从sysfs读取这个信息)
在1und1 vServer中,我不能使用sestatus getenforce和apparmor_status。 我很好奇Paralles裸金属是什么意思,因为如果那是我所拥有的,那么我就无法使用任何内核,也没有任何LSM。 我不知道如何设置一个安全的apache2服务器。 非常感谢您的回答!
您是否安装了用户空间工具(例如CentOS上的yum install policycoreutils)? 这些命令在安装特定LSM的用户级工具时正常工作。
在你的文章中,你说你没有关于内核的控制。 所以我认为你不能安装你的操作系统提供的内核,也不能更新/修改内核甚至是引导程序。
在这种情况下,最好的办法是从一个好的主机上获得一个10欧元的KVM VPS(如果可能的话)。 我可以推荐一个,但我不是广告的粉丝;)
安全的Apache的保护手段,通常被称为符号链接竞争条件?