У меня есть vServer за 10 евро в месяц от 1und1, и я знаю, что это не выделенная машина (то есть у меня меньше контроля). Я знаю, что могу использовать некоторые системы как root, но ядро неприкосновенно. Поэтому мне интересно, можно ли потенциально использовать LSM?
Поскольку я ожидаю, что LSM - это функция ядра, мне кажется, что такой LSM можно использовать только в том случае, если ядро, которое мне было предоставлено, поддерживает его, верно?
Возможно, учитывая это рассуждение, вопрос можно разбить / разбить на:
часть 1) всегда ли невозможно, чтобы vServer выполнял какие-то LSM-задачи? часть 2) или иногда на таком vServer можно установить apparmor / sellinux и т. д.?
может быть, даже 3) есть ли способ проверить, включен ли LSM в ядре
не стесняйтесь добавлять комментарии, если вопрос неясен. Если вопрос неверный (т.е. если нельзя четко сказать, возможно ли это, пожалуйста, помогите мне уточнить вопрос!)
И последнее, но не менее важное: если вопрос кажется неуместным (например, должен ли он быть в U&L SE), скажите мне!
Если я правильно помню, 1 и 1 используют Parallels Bare Metal для своих продуктов VPS.
1) Поэтому (и ссылаясь на ваш пост) вы регулярно не можете запускать свой VPS с настраиваемым ядром или изменять. Таким образом, вы ограничены ядром и модулями / функциями, предоставляемыми хост-узлом.
2) Другие гипервизоры (например, KVM / Xen) обычно дают вам больше контроля над ядром и соответствующими функциями внутри вашего VPS. Пока хостинговая компания поддерживает это, у вас может быть полнофункциональная ОС с собственным ядром и модулями, которые вам нравятся. Это стандартное ядро обычно включает модуль LSM, такой как SELinux / AppArmor (зависит от дистрибутива).
Если хотите, можете пойти еще дальше и скомпилировать собственное ядро, улучшенное с помощью GRSecurity / PaX. Но имейте в виду, что это VPS, поэтому он так же безопасен, как и хост-система.
3) SELinux: попробуйте сестатус или getenforce
AppArmor: попробуйте apparmor_status
(также должна быть возможность прочитать эту информацию из sysfs)
в vServer 1und1 я не мог работать ни с sestatus getenforce, ни с apparmor_status. Мне любопытно, что имеется в виду под Paralles Bare Metal, потому что, если это то, что у меня есть, у меня нет доступа к использованию ядра и LSM. Я не знаю, как настроить такой безопасный сервер apache2. ну спасибо за отличный ответ!
Вы установили инструменты пользовательского пространства (например, yum install policycoreutils в CentOS)? Эти команды работают только тогда, когда установлены инструменты пользовательского уровня для конкретного LSM.
В своем посте вы заявили, что у вас нет контроля по поводу ядра. Поэтому я предполагаю, что вы не можете установить ядро, поставляемое с вашей ОС, а также не можете обновить / изменить ядро или даже загрузчик.
В этом случае лучший способ - получить 10 евро KVM VPS от хорошего хоста (если возможно, с учетом безопасности). Могу порекомендовать, но я не фанат закрытой рекламы;)
Безопасный apache в средствах защиты от проблемы, обычно называемой состоянием гонки символических ссылок?