Como posso saber que o apparmor está funcionando?

18

Algumas perguntas que eu quero responder na resposta:

  • Como eu sei se o apparmor está funcionando?
  • Como posso saber se está funcionando bem?
por Alvar 05.01.2013 / 02:59

2 respostas

12

Para saber o status da sua armadura de aplicativo, digite este comando no seu terminal.

sudo apparmor_status

por exemplo, exemplo de saída:

Para dar desempenho de trabalho de Apparmor eu acho que não há ferramenta de medição. Como eu sei que temos que detectá-lo pelas coisas acontecendo ao redor com o seu PC, quero dizer algo anormal.

    
por Ten-Coin 05.01.2013 / 04:20
7

Para abordar esta subquestão: Como posso saber se está funcionando bem?

Os perfis do Apparmor são um trabalho em andamento. Consequentemente, os postes da baliza estão em movimento. Por favor, dê uma olhada Picar buracos nos perfis do AppArmor e a resposta de Jamie Strandboge da Canonical aqui . Espero que esses dois links lhe dêem uma ideia da complexidade do problema.

Se você deseja manter a subquestão como parte da sua pergunta, é uma decisão sua.

Pedimos desculpas antecipadamente por essa "não resposta".

Edite para ilustrar melhor por que essa subquestão é, para dizer o mínimo, dependente do contexto:

Considere um dos programas mais populares: o Firefox. Ele tem um perfil, mas é enviado no modo de reclamação e não no modo de imposição. Em outras palavras, o Apparmor não faz nada pelo Firefox fora da caixa. A razão é declarada aqui , ainda que brevemente:

  

O impacto do usuário final para usuários em instalações padrão será inexistente. O pacote firefox será enviado no modo de reclamação durante o ciclo de desenvolvimento e antes que o release (ou em algum ponto do ciclo) seja atualizado para ser desativado. Os usuários devem optar por usar o perfil e, portanto, devem saber que o confinamento do AppArmor pode fazer com que o Firefox se comporte inesperadamente.

A seguir, considere o que acontece quando um usuário comum que apenas "ouviu" ou "leu" sobre o Apparmor coloca o perfil no modo enforce. Sem dúvida, há um senso de realização.

Então, olhe para este bug de 2010, ignorando os bits rudes. Observe o título: "perfil do apparmor do firefox é muito leniente". Leia a explicação, em parte, no Comentário # 4:

  

O AppArmor pode proteger contra muitas coisas. O perfil do firefox protege contra a execução de código arbitrário pelo navegador e leitura / gravação de arquivos que você não possui (por exemplo / etc / passwd), lendo / gravando arquivos sensíveis como o gnome-keyring do usuário, chaves ssh, gnupg keys , swp, arquivos de backup, arquivos rc e arquivos no PATH padrão. Também limita add-ons e extensões para o acima. O Firefox está integrado ao Desktop e, por isso, deve ser permitido abrir programas auxiliares e acessar os dados do usuário. Por padrão, o perfil é de uso geral com o design sendo:
    * quando ativado, melhora significativamente a segurança do firefox como é o caso     * fornece um ponto de partida para as pessoas confinarem o firefox como querem     * a implementação dá ao usuário a capacidade de ajustá-lo para ser tão rigoroso quanto desejado   É claro que o Firefox pode ser bloqueado mais para proteger os dados do usuário. Nós poderíamos fazer isso para que ele pudesse escrever somente para ~ / Downloads e ler de ~ / Public. No entanto, isso se desvia do design do upstream, provavelmente colocaria a marca Mozilla do Ubuntu em risco e, o mais importante, frustraria os usuários. O perfil do Ubuntu é uma "violação da idéia de apparmor"? Claro que não - é que protege o usuário de vários ataques e muitas formas de divulgação de informações. É um requisito de distribuição para fornecer um navegador funcional. É uma opção de distribuição para não quebrá-lo com proteções de segurança muito agressivas. É uma escolha do usuário / administrador configurar o perfil para o ambiente dela.

Argumentos semelhantes se aplicam a Evince.

    
por user25656 05.01.2013 / 07:22