我有一個 1und1 每月 10 歐元的 vServer，我知道它不是專用機器（這意味著我的控制權較少）。我知道我可以以 root 身份使用某些系統，但核心是不可觸及的。因此，我想知道是否可以使用 LSM？

因為我希望 LSM 是一個核心特性，所以在我看來，只有在為我提供了核心特性的情況下才能使用這樣的 LSM，對吧？

也許考慮到這個推理，這個問題可以分解/分解為：

第 1 部分）讓 vServer 做一些 LSM 的東西總是不可能的嗎？第 2 部分）或者有時可以在這樣的 vServer 上安裝 apparmor/sellinux 等？

甚至可能 3) 有沒有辦法讓我檢查核心中是否啟用了 LSM

如果問題不清楚，請隨時添加評論。如果問題是錯誤的（即如果不能清楚地說明是否可能，請幫我說明問題！）

最後但並非最不重要的一點是，如果問題似乎不合適（即是否應該出現在 U&L SE 中），請告訴我！

如果我沒記錯的話，1&1 正在將 Parallels Bare Metal 用於他們的 VPS 產品。

1） 因此（並參考您的文章）您經常無法使用自定義核心執行您的 VPS 或修改。因此，您僅限於核心和主機節點提供的模組/功能。

2) 其他虛擬機管理程序（例如 KVM / Xen）通常可以讓您對 VPS 中的核心和相關功能進行更多控制。只要託管公司支持它，您就可以擁有一個功能齊全的作業系統，它有自己的核心和模組，只要您喜歡。這個 stock-kernel 通常包含一個 LSM 模組，如 SELinux/AppArmor（取決於發行版）。

如果你願意，你可以在這裡更進一步，用 GRSecurity/PaX 編譯你自己的核心。但請記住，它是 VPS，因此與主機系統一樣安全。

3) SELinux：嘗試sestatus或getenforce

AppArmor：嘗試 apparmor_status

（應該也可以從 sysfs 讀取此資訊）

編輯

在 1und1 vServer 中，我無法使用 sestatus getenforce 和 apparmor_status。我很好奇 Parallels Bare Metal 是什麼意思，因為如果這是我所擁有的，那麼我將無法使用任何核心，也無法使用 LSM。我不知道如何設置這樣一個安全的 apache2 伺服器。非常感謝您的出色回答！

您是否安裝了使用者空間工具（例如 CentOS 上的 yum install policycoreutils）？這些命令僅在安裝特定 LSM 的使用者空間工具時才起作用。

在您的文章中，您說您對核心沒有控制權。因此，我假設您無法安裝作業系統隨附的核心，也無法更新/修改核心甚至引導載入程序。

在這種情況下，最好的方法是從一台好的主機（如果可能的話，考慮到安全性）獲得一個 10 歐元的 KVM VPS。我可以推荐一個，但我不喜歡有蓋廣告；）

安全的 apache 以防止通常稱為符號連結競爭條件的問題？

引用自：https://serverfault.com/questions/579306