Security

linux 安全模組 (LSM) 是否在虛擬伺服器 (vServer) 上執行?

  • March 2, 2014

我有一個 1und1 每月 10 歐元的 vServer,我知道它不是專用機器(這意味著我的控制權較少)。我知道我可以以 root 身份使用某些系統,但核心是不可觸及的。因此,我想知道是否可以使用 LSM?

因為我希望 LSM 是一個核心特性,所以在我看來,只有在為我提供了核心特性的情況下才能使用這樣的 LSM,對吧?

也許考慮到這個推理,這個問題可以分解/分解為:

第 1 部分)讓 vServer 做一些 LSM 的東西總是不可能的嗎?第 2 部分)或者有時可以在這樣的 vServer 上安裝 apparmor/sellinux 等?

甚至可能 3) 有沒有辦法讓我檢查核心中是否啟用了 LSM

如果問題不清楚,請隨時添加評論。如果問題是錯誤的(即如果不能清楚地說明是否可能,請幫我說明問題!)

最後但並非最不重要的一點是,如果問題似乎不合適(即是否應該出現在 U&L SE 中),請告訴我!

如果我沒記錯的話,1&1 正在將 Parallels Bare Metal 用於他們的 VPS 產品。

1) 因此(並參考您的文章)您經常無法使用自定義核心執行您的 VPS 或修改。因此,您僅限於核心和主機節點提供的模組/功能。

2) 其他虛擬機管理程序(例如 KVM / Xen)通常可以讓您對 VPS 中的核心和相關功能進行更多控制。只要託管公司支持它,您就可以擁有一個功能齊全的作業系統,它有自己的核心和模組,只要您喜歡。這個 stock-kernel 通常包含一個 LSM 模組,如 SELinux/AppArmor(取決於發行版)。

如果你願意,你可以在這裡更進一步,用 GRSecurity/PaX 編譯你自己的核心。但請記住,它是 VPS,因此與主機系統一樣安全。

3) SELinux:嘗試sestatusgetenforce

AppArmor:嘗試 apparmor_status

(應該也可以從 sysfs 讀取此資訊)

編輯

在 1und1 vServer 中,我無法使用 sestatus getenforce 和 apparmor_status。我很好奇 Parallels Bare Metal 是什麼意思,因為如果這是我所擁有的,那麼我將無法使用任何核心,也無法使用 LSM。我不知道如何設置這樣一個安全的 apache2 伺服器。非常感謝您的出色回答!

您是否安裝了使用者空間工具(例如 CentOS 上的 yum install policycoreutils)?這些命令僅在安裝特定 LSM 的使用者空間工具時才起作用。

在您的文章中,您說您對核心沒有控制權。因此,我假設您無法安裝作業系統隨附的核心,也無法更新/修改核心甚至引導載入程序。

在這種情況下,最好的方法是從一台好的主機(如果可能的話,考慮到安全性)獲得一個 10 歐元的 KVM VPS。我可以推荐一個,但我不喜歡有蓋廣告;)

安全的 apache 以防止通常稱為符號連結競爭條件的問題?

引用自:https://serverfault.com/questions/579306