Come posso sapere che Apparmor funziona?
Risposte:
Per conoscere lo stato della tua armatura per app, digita questo comando nel tuo terminale.
sudo apparmor_status
ad esempio, output di esempio:
Per dare prestazioni operative di Apparmor penso che non ci sia uno strumento di misurazione. Come so che dobbiamo rilevarlo dalle cose che accadono in giro con il tuo PC, intendo qualcosa di anormale.
Per rispondere a questa domanda secondaria: come posso sapere se funziona bene?
I profili Apparmor sono in fase di elaborazione. Di conseguenza, i pali dell'obiettivo si stanno spostando. Dai un'occhiata a Poking Holes in AppArmor Profiles e alla risposta di Jamie Strandboge di Canonical qui . Spero che questi due link ti diano un'idea della complessità del problema.
Se desideri conservare la domanda come parte della tua domanda è la tua decisione.
Ci scusiamo in anticipo per questa "mancata risposta".
Modifica per illustrare ulteriormente perché questa domanda è, a dir poco, dipendente dal contesto:
Considera uno dei programmi più popolari: Firefox. Ha un profilo ma viene spedito in modalità di reclamo e non in modalità di applicazione. In altre parole, Apparmor non fa nulla per Firefox. Il motivo è indicato qui , anche se brevemente:
L'impatto dell'utente finale per gli utenti nelle installazioni predefinite sarà inesistente. Il pacchetto firefox verrà spedito in modalità reclamo durante il ciclo di sviluppo e prima di essere rilasciato (o ad un certo punto del ciclo) per essere disabilitato. Gli utenti devono scegliere di utilizzare il profilo e quindi devono sapere che il confinamento di AppArmor potrebbe causare comportamenti imprevisti di Firefox.
Successivamente, considera cosa succede quando un utente medio che ha appena "sentito" o "letto" Apparmor mette il profilo in modalità di applicazione. Senza dubbio c'è un senso di realizzazione.
Quindi, guarda questo bug del 2010, ignorando i bit maleducati. Si noti il titolo: "il profilo di Firefox Apparmor è troppo indulgente". Continua a leggere per la logica, in parte, nel commento n. 4:
AppArmor può proteggere da molte cose. Il profilo firefox protegge dall'esecuzione di codice arbitrario da parte del browser e dalla lettura / scrittura di file di cui non si è proprietari (ad es. / Etc / passwd), dalla lettura / scrittura di file sensibili come il portachiavi gnome dell'utente, chiavi ssh, chiavi gnupg, file cronologici , swp, file di backup, file rc e file nel PERCORSO standard. Limita anche i componenti aggiuntivi e le estensioni a quanto sopra. Firefox è integrato nel desktop e quindi deve essere consentito aprire programmi di supporto e accedere ai dati dell'utente. Per impostazione predefinita, il profilo ha uno scopo generale :
* quando abilitato, migliora in modo significativo la sicurezza di Firefox così com'è
* fornisce un punto di partenza per confinare a Firefox come vogliono
* l'implementazione offre all'utente la possibilità di perfezionarlo per essere rigoroso come desiderato.
Naturalmente Firefox può essere bloccato di più per proteggere i dati dell'utente. Potremmo farlo in modo che potesse scrivere solo su ~ / Download e leggere da ~ / Public. Tuttavia, questo si discosta dal design a monte, probabilmente metterebbe in pericolo il marchio Mozilla di Ubuntu e, soprattutto, frustrando gli utenti. Il profilo di Ubuntu è una "violazione dell'idea di apparmor"? Non Naturalmente - si sta proteggendo l'utente da diversi attacchi e molte forme di divulgazione di informazioni. È un requisito di distribuzione per fornire un browser funzionale. È una scelta di distribuzione non romperla con protezioni di sicurezza troppo aggressive. È un utente / amministratore
Argomenti simili valgono per Evince.