Os módulos de segurança do linux (LSM) são executados no servidor virtual (vServer)? [fechadas]

Navegue suas respostas
1

Eu tenho um vServer por 10 euros / mês a partir de 1und1 e sei que não é uma máquina dedicada (o que significa que tenho menos controle). Eu sei que posso usar algum sistema como root, mas o kernel é intocável. Portanto, pergunto-me se um LSM pode potencialmente ser usado?

Desde que eu espero que o LSM seja um recurso do kernel, parece-me que tal LSM só é possível de ser usado se o kernel que me foi fornecido tiver recursos, certo?

Talvez, dado esse raciocínio, a questão possa ser descartada / dividida em:

parte 1) é sempre impossível ter um vServer fazendo algumas coisas LSM? parte 2) ou é por vezes possível ter apparmor / sellinux etc em tal vServer?

talvez até 3) existe uma maneira de eu verificar se um LSM está habilitado no kernel

sinta-se à vontade para adicionar comentários se a pergunta não estiver clara. Se a pergunta for falsa (ou seja, se não for possível dizer claramente se, ou se isso não for possível, por favor, especifique a pergunta!)

Por último, mas não menos importante, se a pergunta parecer fora do lugar (ou seja, se preferir estar em U & L SE), diga-me!

    
por humanityANDpeace 02.03.2014 / 16:47

1 resposta

1

Se bem me lembro, 1 & 1 estão usando o Parallels Bare Metal para seus produtos VPS.

1) Portanto (e referindo-se ao seu post) você é regularmente incapaz de executar o seu VPS com um kernel personalizado ou modificar. Portanto, você está limitado ao kernel e aos módulos / funcionalidades fornecidos pelo nó do host.

2) Outros Hypervisors (por exemplo, KVM / Xen) geralmente oferecem mais controle sobre o kernel e a funcionalidade relacionada dentro do seu VPS. Desde que a empresa de hospedagem ofereça suporte a ele, você poderá ter um sistema operacional completo com seu próprio kernel e módulos, conforme desejar. Este stock-kernel geralmente inclui um módulo LSM como o SELinux / AppArmor (depende da distribuição).

Se você quiser, pode ir ainda mais longe e compilar seu próprio kernel aprimorado com o GRSecurity / PaX. Mas tenha em mente que o VPS é tão seguro quanto o sistema host.

3) SELinux: tente sestatus ou getenforce

AppArmor: tente apparmor_status

(também deve ser possível ler esta informação do sysfs)

EDITAR

in the 1und1 vServer I could none of sestatus getenforce nor apparmor_status to work. I am curious what is meant by a Paralles Bare Metal because if that is what I have then I have no access to use a kernel whatsoever and no LSM. I do not know how to setup a safe apache2 server like this. well thanks for your great answer!

Você instalou as ferramentas de espaço do usuário (por exemplo, yum install policycoreutils on CentOS)? Esses comandos funcionam apenas quando as ferramentas do usuário do LSM específico estão instaladas.

Em seu post você afirmou que não tem kontrol sobre o kernel. Então eu suponho que você é incapaz de instalar o kernel fornecido com seu sistema operacional e também não pode atualizar / modificar o kernel ou mesmo o gerenciador de inicialização.

Neste caso, a melhor maneira é obter um VPS KVM de 10 EUR de um bom anfitrião (se possível, um com a segurança em mente). Eu poderia recomendar um, mas não sou fã de publicidade coberta;)

Apache seguro em meios de proteção contra o problema comumente chamado symlink race-condition?

    
por 02.03.2014 / 17:57

Tags

Usando um ponto de distribuição do SCCM 2012 como servidor de arquivos para o iPXE Ubuntu Server 13: Como impedir que os usuários explorem o sistema de arquivos com php