Як я можу сказати, що apparmor працює?
Відповіді:
Щоб знати стан вашої програми-броні, введіть цю команду у свій термінал.
sudo apparmor_status
наприклад, вибірка вибірки:
Для забезпечення робочої продуктивності Apparmor, я думаю, що немає інструменту вимірювання. Оскільки я знаю, що ми повинні виявити це за допомогою речей, що відбуваються з вашим ПК, я маю на увазі щось ненормальне.
Для вирішення цього питання: Як я можу сказати, чи працює він добре?
Профілі Apparmor - це незавершена робота. Отже, пости мети рухаються. Погляньте на Poking Holes у AppArmor Profiles та відповідь Джеймі Стрендбога Canonical тут . Сподіваюся, що ці два посилання дадуть вам уявлення про складність питання.
Чи хочете ви зберегти підпитання як частину вашого питання - це ваше рішення.
Заздалегідь вибачтесь за цю "невідповідь".
Редагувати, щоб додатково проілюструвати, чому це підпитання, в крайньому випадку, залежить від контексту:
Розглянемо одну з найпопулярніших програм: Firefox. Він має профіль, але він поставляється в режимі скарги, а не в режимі примусового виконання. Іншими словами, Apparmor не робить нічого для Firefox поза коробкою. Причина йдеться тут , хоча і коротко:
Вплив на кінцевого споживача для користувачів в установках за замовчуванням не буде. Пакет Firefox надсилатиметься у режимі скарги під час циклу розробки та перед випуском (або в певний момент циклу) оновлюється для відключення. Користувачі повинні відмовитися від використання профілю, а тому повинні знати, що обмеження AppArmor може призвести до того, що Firefox поводиться несподівано.
Далі, подумайте, що відбувається, коли пересічний користувач, який щойно "чув" або "читав" про Apparmor, переводить профіль у режим примусового виконання. Без сумніву, є сенс досягнення.
Потім подивіться на цю помилку з 2010 року, ігноруючи грубі шматочки. Зверніть увагу на заголовок: "Профілактичний профіль firefox занадто м'який". Читайте про обґрунтування частково в коментарі №4:
AppArmor може захистити від багатьох речей. Профіль Firefox захищає від виконання довільного коду браузером та читання / запису файлів, якими ви не володієте (наприклад, / etc / passwd), читання / запис чутливих файлів, таких як gnome-keyring користувача, ssh-ключі, gnupg-ключі, файли історії , swp, резервні файли, rc-файли та файли у стандартній PATH. Він також обмежує надбудови та розширення вищезазначеним. Firefox інтегрований у робочий стіл, і тому йому потрібно дозволяти відкривати допоміжні програми та отримувати доступ до даних користувача. Профіль за замовчуванням є загальним призначенням, оскільки дизайн:
* при включенні він значно покращує безпеку Firefox, як є
*, він дає вихідну точку для людей, щоб обмежити Firefox, як вони хочуть
* реалізація надає користувачеві можливість точно налаштувати його настільки строго, як бажано.
Звичайно, Firefox можна заблокувати, щоб захистити дані користувача. Ми можемо зробити так, щоб він міг писати лише до ~ / Завантаження та читати з ~ / Public. Однак, це відхиляється від дизайну верхніх течій, швидше за все, поставить на карту брендинг Mozilla Ubuntu і, головне, відлякує користувачів. Чи є профіль Ubuntu "порушенням ідеї про апермор"? Звичайно , немає - це захист користувача від різних атак і багатьох форм розкриття інформації. Потрібна дистрибуція для забезпечення функціонального браузера. Це вибір для розповсюдження, щоб не порушувати його із надто агресивними засобами захисту. Це користувач / адміністратор "
Аналогічні аргументи стосуються і Evince.