AppArmor có làm giảm hiệu năng hệ thống không?

AppArmor có làm giảm hiệu năng hệ thống không? Tôi có một hệ thống chậm (CPU 900 MHz) có AppArmor vì nó được cài đặt theo mặc định Tôi muốn biết liệu nó có trở nên nhanh hơn nếu tôi gỡ bỏ nó hay không, bảo mật không quan trọng bằng hiệu năng trên hệ thống đó.

linux apparmor

— Petr
nguồn

Có lẽ không nhiều như một số quy trình bị tấn công chạy tương đương vớirm -rf --no-preserve-root /

— jackweirdy

Nhưng làm thế nào một quá trình như vậy có thể đi vào, ví dụ như hệ thống nhúng không có truy cập internet và như thế nào? Và tại sao trên thế giới tôi sẽ chạy các thực thi không xác định là người dùng đặc quyền?

— Petr

Ví dụ của tôi là một chút phóng đại, mặc dù về nguyên tắc là hợp lý. Không có truy cập internet là một vấn đề khác, nhưng hãy xem xét hầu hết các bộ định tuyến không dây hiện đại, các bộ chuyển mạch được quản lý và hệ thống SCADA - hầu hết các giao diện web chạy để báo cáo và / hoặc cấu hình. Một số thậm chí cho phép người dùng xác thực sửa đổi các tệp cấu hình hoặc chạy các lệnh. Hãy tưởng tượng nếu một điểm yếu được tìm thấy trong các giao diện như vậy cho phép người dùng không xác thực chạy các lệnh (có thể là root, vì các thiết bị nhúng thường chỉ có một người dùng). Bạn muốn có một số cơ chế để đảm bảo những thứ quan trọng (như / bin) không bị xóa.

— jackweirdy

Nếu bạn đang xem xét apparmor cho một thiết bị có công suất rất thấp mà hoàn toàn không có quyền truy cập mạng, bạn có thể ổn nếu không có nó. Nếu nó có quyền truy cập mạng, hãy coi nó như thể nó có quyền truy cập internet.

— jackweirdy

Câu trả lời:

Tất nhiên, nó làm chậm hệ thống của bạn. Đến mức độ nào phụ thuộc vào những gì ứng dụng của bạn làm. Truy cập hệ thống tệp chậm hơn (vì chúng phải được kiểm tra) và tất cả những thứ khác có thể được cấu hình. Nhưng nếu một quá trình không mở tệp hoặc ổ cắm, thì nó sẽ không bị ảnh hưởng gì cả (sau khi khởi tạo).

Tôi chỉ có một cái nhìn ngắn về công cụ tìm kiếm yêu thích của tôi (tại sao bạn không?) Và kết quả là tác động là không liên quan trong hầu hết các trường hợp.

— Hauke Laging
nguồn

Tôi đã tự mình googled điều này, tôi tìm thấy một loạt các liên kết nói rằng nó không ảnh hưởng đến nó và một loạt các liên kết nói ngược lại. Không có câu trả lời rõ ràng cho đến nay ...

— Petr

Khi tôi google cho nó bây giờ, nó chủ yếu chỉ liên kết đến chính câu hỏi này, không biết bạn đã tìm thấy gì, nhưng tôi không tìm thấy câu trả lời rõ ràng nào

— Petr

@Petr Tất nhiên đó không phải là phép đo độc lập, nhưng các tài liệu của Novell nói: "Hiệu suất không bị ảnh hưởng đáng kể bởi AppArmor." novell.com/documentation/opensuse103/opensuse103_Vference/ từ

— Hauke Laging

ok vậy có đáng để vô hiệu hóa hay không?

— Petr

Có vẻ như không có ý nghĩa để vô hiệu hóa AppArmor vì lý do hiệu suất.

— Hauke Laging

Trừ khi nó nói khác, có lẽ nên giả sử "không có hiệu ứng đáng chú ý" giả định CPU 1,8 GHz + và bộ nhớ khoảng 512MB trở lên. Một máy của tôi là 800 MHz, bộ nhớ 512MB. Hiệu quả của mọi quá trình là đáng chú ý. Chỉ bạn mới có thể đánh giá nếu nó xứng đáng.

— Tài liệu
nguồn

Nó phụ thuộc vào chương trình của bạn làm gì: tần suất truy cập tệp, tần suất sinh ra các chương trình mới, thời gian chạy, ... AppArmor được xây dựng bằng [LSM] 1giao diện, kiểm tra mọi cuộc gọi hệ thống. AppArmor có thể có bộ đệm truy cập để tăng tốc truy cập tệp định kỳ hoặc các yêu cầu tiếp theo đối với tệp đã mở từ cùng một quy trình, nhưng chi phí đáng chú ý nhất là trong quá trình khởi tạo (phải tải hồ sơ của chương trình và phải thực hiện một số khởi tạo ngữ cảnh ). Nếu bạn đang có tâm trạng phán xét không thực tế về các trường hợp xấu nhất, thì đây là hình ảnh so sánh AppArmor với DAC (mô hình cấp phép truyền thống) trong một nghiên cứu về một số khung dựa trên LSM khác (CMCAP-Linux). Hệ thống này là Linux 4.4.6 được khởi động trên Intel Core2 Duo E8400 chạy ở tần số 3GHz với 8GB RAM. Điểm chuẩn vi mô bao gồm 10 lần chạy trung bình (trong các vòng lặp chặt chẽ) gồm 10 triệu thao tác cho bài kiểm tra mở + đóng và 10 nghìn cho 2 bài khác.

— Butshuti
nguồn