Come posso sapere che l'apparmor sta funzionando?

19

Alcune domande a cui voglio rispondere nella risposta:

  • Come faccio a sapere se l'apparmor è in esecuzione?
  • Come posso sapere se funziona bene?
posta Alvar 05.01.2013 - 02:59

2 risposte

13

Per conoscere lo stato della tua app-armor, digita questo comando nel tuo terminale.

sudo apparmor_status

ad esempio, output di esempio:

Per dare prestazioni di lavoro ad Apparmor penso che non ci sia uno strumento di misurazione.Come so che dobbiamo rilevarlo per le cose che accadono intorno al tuo PC intendo qualcosa di anormale.

    
risposta data Ten-Coin 05.01.2013 - 04:20
7

Per rispondere a questa sottoquestione: come posso sapere se funziona bene?

I profili dell'Apparmor sono in lavorazione. Di conseguenza, i posti obiettivo si stanno muovendo. Si prega di dare un'occhiata a Poking Holes nei profili AppArmor e la risposta di Jamie Strandboge di Canonical qui . Spero che questi due collegamenti ti diano un'idea della complessità del problema.

La tua decisione è quella di mantenere la domanda secondaria come parte della tua domanda.

Ci scusiamo in anticipo per questa "non risposta".

Modifica per illustrare ulteriormente perché questa sottoquestione è, a dir poco, dipendente dal contesto:

Considera uno dei programmi più popolari: Firefox. Ha un profilo ma viene spedito in modalità reclamo e non in modalità forzata. In altre parole, Apparmor non fa nulla per Firefox fuori dalla scatola. Il motivo è indicato qui , anche se in breve:

  

L'impatto dell'utente finale per gli utenti nelle installazioni predefinite sarà inesistente. Il pacchetto firefox verrà spedito in modalità reclamo durante il ciclo di sviluppo e prima che il rilascio (o ad un certo punto del ciclo) venga aggiornato per essere disabilitato. Gli utenti devono scegliere di utilizzare il profilo e quindi dovrebbero sapere che il confinamento di AppArmor potrebbe causare il comportamento imprevisto di firefox.

Successivamente, considera cosa succede quando un utente medio che ha appena "ascoltato" o "letto" su Apparmor inserisce il profilo in modalità forzata. Senza dubbio c'è un senso di realizzazione.

Quindi, guarda questo bug dal 2010, ignorando i bit grezzi. Si noti il ​​titolo: "il profilo di apparmor di Firefox è troppo indulgente". Continua a leggere per la logica, in parte, nel commento n. 4:

  

AppArmor può proteggere da molte cose. Il profilo firefox protegge dall'esecuzione di codice arbitrario da parte del browser e dalla lettura / scrittura di file che non possiedi (ad es. / Etc / passwd), leggendo / scrivendo file sensibili come gnome-keyring dell'utente, chiavi ssh, chiavi gnupg, file di cronologia , swp, file di backup, file rc e file nel PATH standard. Confina anche i componenti aggiuntivi e le estensioni di cui sopra. Firefox è integrato nel desktop e quindi deve essere consentito aprire programmi di supporto e accedere ai dati dell'utente. Il profilo è per impostazione predefinita scopo generale con il design in corso:
    * quando abilitato, migliora significativamente la sicurezza di Firefox come è     * fornisce un punto di partenza per le persone a limitare firefox come vogliono     * l'implementazione offre all'utente la possibilità di perfezionarlo per essere rigoroso come desiderato   Ovviamente firefox può essere bloccato di più per proteggere i dati dell'utente. Potremmo fare in modo che possa scrivere solo in ~ / Download e leggere da ~ / Public. Tuttavia, questo devia dal design di upstream, probabilmente metterebbe in gioco il marchio Mozilla di Ubuntu e, cosa più importante, frustrerebbe gli utenti. Il profilo di Ubuntu è una "violazione dell'idea di apparmor"? Ovviamente no: protegge gli utenti da vari attacchi e molte forme di divulgazione di informazioni. È un requisito di distribuzione fornire un browser funzionale. È una scelta di distribuzione per non romperla con protezioni di sicurezza troppo aggressive. È la scelta di un utente / amministratore per configurare il profilo per il suo ambiente.

Argomenti simili si applicano a Evince.

    
risposta data user25656 05.01.2013 - 07:22

Leggi altre domande sui tag