Apakah AppArmor menurunkan kinerja sistem?

8

Apakah AppArmor menurunkan kinerja sistem? Saya memiliki sistem yang lambat (900 MHz CPU) yang memiliki AppArmor karena diinstal secara default. Saya ingin tahu apakah ini menjadi lebih cepat jika saya menghapusnya, keamanan kurang penting daripada kinerja pada sistem itu.

linux apparmor Petr
sumber
Mungkin tidak sebanyak beberapa proses dibajak menjalankan setara denganrm -rf --no-preserve-root /
jackweirdy
Tetapi bagaimana proses seperti itu bisa masuk, misalnya embedded system tanpa akses internet dan suka? Dan mengapa di dunia saya menjalankan executable yang tidak diketahui sebagai pengguna istimewa?
Petr
Teladan saya sedikit dilebih-lebihkan, meskipun secara prinsip masuk akal. Tidak ada akses internet adalah masalah yang berbeda, tetapi pertimbangkan sebagian besar router nirkabel modern, sakelar terkelola, dan sistem SCADA - sebagian besar antarmuka web dijalankan untuk pelaporan dan / atau konfigurasi. Beberapa bahkan memungkinkan pengguna terotentikasi untuk memodifikasi file konfigurasi atau menjalankan perintah. Bayangkan jika ditemukan kelemahan pada antarmuka yang memungkinkan pengguna yang tidak diautentikasi untuk menjalankan perintah (kemungkinan sebagai root, karena perangkat yang disematkan seringkali hanya memiliki satu pengguna). Anda ingin beberapa mekanisme untuk memastikan hal-hal penting (seperti / bin) tidak dihapus.
jackweirdy
Jika Anda mempertimbangkan apparmor untuk perangkat bertenaga sangat rendah tanpa akses jaringan sama sekali, Anda mungkin baik-baik saja tanpa itu. Jika memiliki akses jaringan, perlakukan seolah-olah memiliki akses internet.
jackweirdy

Jawaban:

2

Tentu saja, ini memperlambat sistem Anda. Sejauh mana tergantung pada apa aplikasi Anda lakukan. Akses sistem file lebih lambat (karena harus diperiksa) dan semua hal lain yang dapat dikonfigurasi. Tetapi jika suatu proses tidak membuka file atau soket dan seterusnya maka itu tidak akan terpengaruh sama sekali (setelah inisialisasi).

Saya baru saja melihat sekilas pada mesin pencari favorit saya (mengapa tidak?) Dan hasilnya adalah dampaknya tidak relevan dalam kebanyakan kasus.

Hauke ​​Laging
sumber
Saya telah meng-google-nya sendiri, saya menemukan banyak tautan yang mengatakan itu tidak mempengaruhinya dan banyak tautan mengatakan sebaliknya. Sejauh ini tidak ada jawaban yang jelas ...
Petr
btw ketika saya google untuk sekarang, sebagian besar hanya tautan ke pertanyaan ini, tidak tahu apa yang Anda temukan, tapi saya gagal menemukan jawaban yang jelas
Petr
@Petr Itu bukan pengukuran independen, tentu saja, tetapi dokumen Novell mengatakan: "Kinerja tidak terpengaruh oleh AppArmor." novell.com/documentation/opensuse103/opensuse103_reference/…
Hauke ​​Laging
ok jadi apakah itu nilai menonaktifkan atau tidak?
Petr
Tampaknya tidak masuk akal untuk menonaktifkan AppArmor karena alasan kinerja.
Hauke ​​Laging
1

Kecuali dikatakan sebaliknya, mungkin seharusnya mengasumsikan "tidak ada efek yang terlihat" mengasumsikan 1,8 GHz + CPU dan sekitar 512MB memori atau lebih. Salah satu mesin saya adalah 800MHz, memori 512MB. Efek dari setiap proses terlihat. Hanya Anda yang bisa menilai apakah itu layak.

DocSalvager
sumber
1

Itu tergantung pada apa program Anda: seberapa sering ia mengakses file, seberapa sering ia menelurkan program-program baru, berapa lama dijalankan, ... AppArmor dibangun menggunakan [LSM] 1antarmuka, yang memeriksa setiap panggilan sistem. AppArmor mungkin memiliki cache akses untuk mempercepat akses file berulang atau permintaan berikutnya ke file yang sudah terbuka dari proses yang sama, tetapi overhead yang paling terlihat adalah selama inisialisasi (profil program harus dimuat, dan beberapa inisialisasi konteks harus dilakukan ). Jika Anda berminat untuk penilaian yang agak tidak praktis dari kasus terburuk, berikut ini adalah gambar yang membandingkan AppArmor dengan DAC (model izin tradisional) selama studi tentang beberapa kerangka kerja berbasis LSM lainnya (CMCAP-Linux). Sistemnya adalah Linux 4.4.6 yang dibooting pada Intel Core2 Duo E8400 yang berjalan pada 3GHz dengan RAM 8GB. Benchmark mikro terdiri dari 10 rata-rata berjalan (dalam loop ketat) dari 10 juta operasi untuk uji buka + tutup, dan 10 ribu untuk 2 lainnya. Overhead panggilan sistem: DAC vs CMCAP-Linux vs AppArmor

Butshuti
sumber