Bagaimana saya bisa tahu bahwa apparmor berfungsi?

24

Beberapa pertanyaan yang ingin saya jawab dalam jawabannya:

  • Bagaimana saya tahu jika apparmor sedang berjalan?
  • Bagaimana saya bisa tahu apakah itu berfungsi dengan baik?
Alvar
sumber

Jawaban:

17

Untuk mengetahui status armor aplikasi Anda, ketikkan perintah ini di terminal Anda.

sudo apparmor_status

misalnya, keluaran sampel:masukkan deskripsi gambar di sini

Untuk memberikan kinerja Apparmor, saya pikir tidak ada alat Pengukuran. Seperti yang saya tahu kita harus mendeteksinya dengan hal-hal yang terjadi di sekitar dengan PC Anda, saya maksudkan sesuatu yang abnormal.

rɑːdʒɑ
sumber
7

Untuk menjawab pertanyaan ini: Bagaimana saya bisa tahu apakah itu berfungsi dengan baik?

Profil Apparmor sedang dalam proses. Akibatnya, tiang gawang bergerak. Silakan lihat Poking Holes di AppArmor Profiles dan respons Jamie Strandboge dari Canonical di sini . Saya harap kedua tautan ini memberi Anda gambaran tentang kompleksitas masalah ini.

Apakah Anda ingin mempertahankan subquestion sebagai bagian dari pertanyaan Anda adalah keputusan Anda.

Permintaan maaf sebelumnya untuk "tidak dijawab" ini.

Sunting untuk mengilustrasikan lebih lanjut mengapa pertanyaan kecil ini, untuk sedikitnya, tergantung pada konteks:

Pertimbangkan salah satu program paling populer: Firefox. Ini memiliki profil tetapi dikirim dalam mode keluhan dan tidak dalam mode menegakkan. Dengan kata lain, Apparmor tidak melakukan apa pun untuk Firefox. Alasannya dinyatakan di sini , meskipun singkat:

Dampak pengguna akhir untuk pengguna di instalasi default tidak akan ada. Paket firefox akan dikirimkan dalam mode pengaduan selama siklus pengembangan dan sebelum rilis (atau pada titik tertentu dalam siklus) diperbarui untuk dinonaktifkan. Pengguna harus memilih untuk menggunakan profil dan oleh karena itu harus tahu bahwa kurungan AppArmor dapat menyebabkan firefox berperilaku tidak terduga.

Selanjutnya, pertimbangkan apa yang terjadi ketika pengguna biasa yang baru saja "mendengar" atau "membaca" tentang Apparmor menempatkan profil dalam mode menegakkan. Tidak diragukan lagi ada rasa pencapaian.

Lalu, lihat bug ini dari 2010, mengabaikan bit kasar. Perhatikan judul: "profil aparatur firefox terlalu lunak". Baca terus untuk alasannya, sebagian, di Komentar # 4:

AppArmor dapat melindungi dari banyak hal. Profil firefox melindungi terhadap eksekusi kode arbitrer oleh browser dan membaca / menulis file yang tidak Anda miliki (mis. / Etc / passwd), membaca / menulis file sensitif seperti gnome-keyring pengguna, kunci ssh, kunci gnupg, file riwayat , swp, file cadangan, file rc, dan ke file dalam PATH standar. Itu juga membatasi add-on dan ekstensi untuk yang di atas. Firefox diintegrasikan ke dalam Desktop dan karenanya harus diizinkan untuk membuka program pembantu dan mengakses data pengguna. Profil ini secara umum bertujuan umum dengan desainnya:
* ketika diaktifkan, secara signifikan meningkatkan keamanan firefox sebagaimana adanya
* itu memberikan titik awal bagi orang untuk membatasi firefox bagaimana mereka ingin
* implementasi memberi pengguna kemampuan untuk menyempurnakannya menjadi seketat yang diinginkan
Tentu saja firefox dapat dikunci lebih banyak untuk melindungi data pengguna. Kita bisa membuatnya sehingga hanya bisa menulis ke ~ / Unduhan dan membaca dari ~ / Publik. Namun, ini menyimpang dari desain hulu, kemungkinan akan menempatkan branding Mozilla Ubuntu dipertaruhkan, dan yang paling penting membuat pengguna frustrasi. Apakah profil Ubuntu merupakan "pelanggaran terhadap ide apparmor"? Tentu saja tidak - itu adalah melindungi pengguna dari berbagai serangan dan berbagai bentuk keterbukaan informasi. Ini adalah persyaratan distribusi untuk menyediakan browser yang fungsional. Ini adalah pilihan distribusi untuk tidak memutuskannya dengan perlindungan keamanan yang terlalu agresif. Ini adalah pengguna / administrator

Argumen serupa berlaku untuk Evince.


sumber
Keamanan selalu kompleks.
jrg
@ jrg, Itulah sebabnya saya merasa pertanyaan ini memiliki potensi untuk menghasilkan debat daripada menghasilkan jawaban "pasti". Tolong jangan mengambil apa pun yang saya katakan berarti saya tidak menggunakan Apparmor. Sebagai bagian dari hal-hal yang saya pelajari, saya telah membuat, dan menggunakan, profil saya sendiri untuk Chrome (bukan Chromium), Privoxy, dan Seamonkey.