Làm thế nào tôi có thể nói rằng apparmor đang làm việc?


24

Một số câu hỏi tôi muốn trả lời trong câu trả lời:

  • Làm thế nào để tôi biết nếu apparmor đang chạy?
  • Làm thế nào tôi có thể biết nếu nó hoạt động tốt?

Câu trả lời:


17

Để biết trạng thái của áo giáp ứng dụng của bạn, hãy nhập lệnh này trong thiết bị đầu cuối của bạn.

sudo apparmor_status

ví dụ: đầu ra mẫu:nhập mô tả hình ảnh ở đây

Để cung cấp hiệu suất làm việc của Apparmor tôi nghĩ không có công cụ Đo lường. Tôi biết chúng ta phải phát hiện ra nó bởi những điều xảy ra xung quanh với PC của bạn Tôi có nghĩa là có gì đó bất thường.


7

Để giải quyết câu hỏi con này: Làm thế nào tôi có thể biết nếu nó hoạt động tốt?

Hồ sơ Apparmor là một công việc trong tiến trình. Do đó, các mục tiêu bài viết đang di chuyển. Xin hãy xem Poking Holes trong Hồ sơ AppArmor và phản hồi của Jamie Strandboge của Canonical tại đây . Tôi hy vọng hai liên kết này sẽ cho bạn một ý tưởng về sự phức tạp của vấn đề.

Cho dù bạn muốn giữ lại câu hỏi phụ như một phần câu hỏi của bạn là quyết định của bạn.

Xin lỗi trước vì "không trả lời" này.

Chỉnh sửa để minh họa thêm tại sao câu hỏi con này, ít nhất là, phụ thuộc vào ngữ cảnh:

Hãy xem xét một trong những chương trình phổ biến nhất: Firefox. Nó có một hồ sơ nhưng nó được vận chuyển trong chế độ khiếu nại và không ở chế độ thực thi. Nói cách khác, Apparmor không làm gì cho Firefox. Lý do được nêu ở đây , mặc dù ngắn gọn:

Tác động của người dùng cuối đối với người dùng trong cài đặt mặc định sẽ không tồn tại. Gói firefox sẽ xuất xưởng ở chế độ khiếu nại trong chu kỳ phát triển và trước khi phát hành (hoặc tại một số điểm trong chu kỳ) được cập nhật để bị vô hiệu hóa. Người dùng phải chọn tham gia sử dụng hồ sơ và do đó nên biết rằng việc giam cầm AppArmor có thể khiến firefox hành xử bất ngờ.

Tiếp theo, hãy xem xét những gì xảy ra khi một người dùng trung bình chỉ "nghe" hoặc "đọc" về Apparmor đặt hồ sơ ở chế độ thực thi. Không có nghi ngờ gì có một cảm giác thành tích.

Sau đó, nhìn vào lỗi này từ năm 2010, bỏ qua các bit thô lỗ. Lưu ý tiêu đề: "hồ sơ ứng dụng firefox quá khoan dung". Đọc về lý do, một phần, trong Nhận xét # 4:

AppArmor có thể bảo vệ chống lại nhiều thứ. Cấu hình firefox bảo vệ chống lại việc thực thi mã tùy ý bởi trình duyệt và đọc / ghi các tệp bạn không sở hữu (ví dụ / etc / passwd), đọc / ghi các tệp nhạy cảm như khóa gnome-keyring, khóa ssh, khóa gnupg, tệp lịch sử , swp, tập tin sao lưu, tập tin RC và tập tin trong PATH tiêu chuẩn. Nó cũng giới hạn các tiện ích bổ sung và phần mở rộng ở trên. Firefox được tích hợp vào Máy tính để bàn và do đó, nó phải được phép mở các chương trình trợ giúp và truy cập dữ liệu của người dùng. Cấu hình mặc định là mục đích chung với thiết kế:
* khi được bật, nó cải thiện đáng kể tính bảo mật của firefox như
* nó cung cấp một điểm khởi đầu để mọi người giới hạn firefox theo cách họ muốn
* việc triển khai cung cấp cho người dùng khả năng tinh chỉnh nó nghiêm ngặt như mong muốn
Tất nhiên firefox có thể được khóa nhiều hơn để bảo vệ dữ liệu của người dùng. Chúng tôi có thể làm cho nó để nó chỉ có thể ghi vào ~ / Tải xuống và đọc từ ~ / Công khai. Tuy nhiên, điều này đi lệch khỏi thiết kế ngược dòng, có thể sẽ khiến thương hiệu Mozilla của Ubuntu bị đe dọa và quan trọng nhất là khiến người dùng thất vọng. Hồ sơ của Ubuntu có phải là "vi phạm ý tưởng của apparmor" không? Tất nhiên là không - nó đang bảo vệ người dùng khỏi các cuộc tấn công khác nhau và nhiều hình thức tiết lộ thông tin. Đó là một yêu cầu phân phối để cung cấp một trình duyệt chức năng. Đó là một lựa chọn phân phối để không phá vỡ nó với các biện pháp bảo vệ an ninh quá tích cực. Nó là người dùng / quản trị viên '

Lập luận tương tự áp dụng cho Evince.


An ninh luôn phức tạp.
JRG

@jrg, đó là lý do tại sao tôi cảm thấy câu hỏi phụ có khả năng tạo ra cuộc tranh luận thay vì tạo ra câu trả lời "dứt khoát". Xin đừng lấy bất cứ điều gì tôi đã nói có nghĩa là tôi không sử dụng Apparmor. Là một phần trong những điều học tập của tôi, tôi đã tạo và sử dụng các hồ sơ của riêng mình cho Chrome (không phải Chromium), Privoxy và Seamonkey.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.