Как я могу сказать, что работает apparmor?

18

Некоторые вопросы, на которые я хочу ответить в ответ:

  • Как узнать, работает ли apparmor?
  • Как я могу узнать, хорошо ли он работает?
задан Alvar 05.01.2013 в 02:59
источник

2 ответа

12

Чтобы узнать о статусе вашего доспеха, введите эту команду в свой терминал.

sudo apparmor_status

, например, вывод образца:

Чтобы дать рабочие характеристики Apparmor, я думаю, что нет инструмента измерения. Как я знаю, мы должны обнаружить его в связи с тем, что происходит с вашим компьютером. Я имею в виду что-то ненормальное.

    
ответ дан Ten-Coin 05.01.2013 в 04:20
источник
7

Чтобы решить эту проблему: как я могу определить, хорошо ли она работает?

Профили Apparmor - это незавершенная работа. Следовательно, позиции ворот движутся. Пожалуйста, взгляните на Poking Holes в профилях AppArmor и ответ Джейми Страндбоге Canonical . Надеюсь, эти две ссылки дадут вам представление о сложности проблемы.

Если вы хотите сохранить подзапрос в качестве части вашего вопроса, это ваше решение.

Извините заранее за этот «отказ».

Изменить, чтобы еще раз пояснить, почему это подпоследовательность, по меньшей мере, зависит от контекста:

Рассмотрим одну из самых популярных программ: Firefox. Он имеет профиль, но он отправляется в режиме жалобы, а не в режиме принудительного исполнения. Другими словами, Apparmor ничего не делает для Firefox из коробки. Причина здесь указана здесь , хотя и кратко:

  

Влияние конечных пользователей для пользователей в установках по умолчанию будет отсутствовать. Пакет firefox отправляется в режиме жалобы в течение цикла разработки и до выпуска (или в какой-то момент цикла) обновляется для отключения. Пользователи должны отказаться от использования профиля и поэтому должны знать, что ограничение AppArmor может привести к тому, что firefox будет вести себя непредсказуемо.

Далее подумайте, что происходит, когда обычный пользователь, который просто «слышал» или «читал» об Apparmor, ставит профиль в режим принудительного исполнения. Без сомнения, есть смысл достижения.

Затем просмотрите эту ошибку с 2010 года, игнорируя грубые биты. Обратите внимание на заголовок: «Профиль firefox apparmor слишком мягкий». Читайте дальше для обоснования, частично, в комментарии № 4:

  

AppArmor может защищать от многих вещей. Профиль firefox защищает от выполнения произвольного кода браузером и чтения / записи файлов, которые у вас нет (например, / etc / passwd), чтения / записи чувствительных файлов, таких как гнома-ключ пользователя, ключи ssh, ключи gnupg, файлы истории , swp, файлы резервных копий, файлы rc и файлы в стандартном PATH. Он также ограничивает надстройки и дополнения к вышеизложенному. Firefox интегрирован в Рабочий стол, поэтому ему должно быть разрешено открывать вспомогательные программы и получать доступ к данным пользователя. Профиль по умолчанию общего назначения с дизайном:
    * когда включено, это значительно улучшает безопасность firefox как есть     * он обеспечивает отправную точку для людей, чтобы ограничить firefox, как они хотят, чтобы     * реализация дает пользователю возможность точно настроить его как строгую, как требуется   Конечно, firefox можно заблокировать больше, чтобы защитить данные пользователя. Мы могли бы сделать так, чтобы он мог писать только ~ / Downloads и читать из ~ / Public. Тем не менее, это отклоняется от дизайна вверх, скорее всего, поставит под угрозу бренд Ubuntu Mozilla и, самое главное, разочарует пользователей. Является ли профиль Ubuntu «нарушением идеи apparmor»? Конечно, нет - защищает пользователя от различных атак и многих форм раскрытия информации. Это требование распределения для обеспечения функционального браузера. Это выбор распределения, чтобы не сломать его слишком агрессивными средствами защиты. Это выбор пользователя / администратора для настройки профиля для ее среды.

Аналогичные аргументы применимы к Evince.     

ответ дан user25656 05.01.2013 в 07:22