我从 1und1 那里获得了一个每月 10 欧元的 vServer,我知道它不是专用机器(这意味着我的控制权较少)。我知道我可以以 root 身份使用某些系统,但内核是不可触碰的。因此我想知道是否可以使用 LSM?
由于我认为 LSM 是一个内核功能,所以在我看来,只有我所提供的内核具有该功能时,才有可能使用这样的 LSM,对吗?
也许根据这个推理,这个问题可以分解为:
第 1 部分) 是否始终不可能让 vServer 执行某些 LSM 操作?第 2 部分)或者有时是否可以在这样的 vServer 上安装 apparmor/sellinux 等?
甚至 3)有没有办法让我检查内核中是否启用了 LSM
如果问题不清楚,请随意添加评论。如果问题是错误的(即如果不能清楚地说明是否可能,请帮助我指定问题!)
最后但同样重要的一点是,如果问题看起来不合适(即如果它应该在 U&L SE 中)告诉我!
答案1
如果我没记错的话,1&1 的 VPS 产品使用的是 Parallels Bare Metal。
1) 因此(参考您的帖子)您经常无法使用自定义内核或修改内核来运行 VPS。因此,您只能使用内核以及主机节点提供的模块/功能。
2) 其他虚拟机管理程序(例如 KVM / Xen)通常可让您更好地控制 VPS 中的内核和相关功能。只要托管公司支持,您就可以拥有一个功能齐全的操作系统,其中包含自己的内核和模块。此库存内核通常包含 LSM 模块,如 SELinux/AppArmor(取决于发行版)。
如果您愿意,您可以在这里进一步编译您自己的内核,并使用 GRSecurity/PaX 进行增强。但请记住它是 VPS,因此与主机系统一样安全。
3) SELinux:尝试状态或者获得力量
AppArmor:尝试 apparmor_status
(也应该可以从 sysfs 读取该信息)
编辑
在 1und1 vServer 中,sestatus getenforce 和 apparmor_status 都无法工作。我很好奇 Paralles Bare Metal 是什么意思,因为如果我有的话,我就无法使用任何内核,也没有 LSM。我不知道如何设置像这样的安全 apache2 服务器。非常感谢您的精彩回答!
您是否安装了用户空间工具(例如 CentOS 上的 yum install policycoreutils)?只有在安装了特定 LSM 的用户空间工具后,这些命令才有效。
在您的帖子中,您表示您无法控制内核。因此,我认为您无法安装操作系统附带的内核,也无法更新/修改内核甚至引导加载程序。
在这种情况下,最好的方法是从一家好的主机商那里购买一台 10 欧元的 KVM VPS(如果可能的话,最好是一家考虑安全性的主机商)。我可以推荐一个,但我不喜欢隐蔽的广告 ;)
安全的 Apache 如何防范通常称为符号链接竞争条件的问题?