防具が機能していることをどのように確認できますか?


24

私は答えで答えたいいくつかの質問:

  • apparmorが実行されているかどうかを確認するにはどうすればよいですか?
  • うまく機能しているかどうかはどうすればわかりますか?

回答:


17

app-armorのステータスを知るには、ターミナルでこのコマンドを入力します。

sudo apparmor_status

たとえば、サンプル出力:ここに画像の説明を入力してください

Apparmorの動作パフォーマンスを提供するために、測定ツールはないと思います。ご使用のPCで起こっていることによって検出する必要があることはわかっているので、異常なことを意味します。


7

このサブ質問に対処するには:うまく機能しているかどうかはどうすればわかりますか?

装甲プロファイルは進行中の作業です。その結果、ゴールポストは動いています。見てください AppArmorのプロファイルで突っつい穴とCanonicalのジェイミーStrandbogeの応答ここに。これらの2つのリンクが、問題の複雑さを理解してくれることを願っています。

質問の一部としてサブ質問を保持するかどうかは、あなたの決定です。

この「無回答」について事前におApび申し上げます。

編集して、このサブ質問が控えめに言ってもコンテキストに依存する理由をさらに説明します。

最も人気のあるプログラムの1つであるFirefoxを検討してください。プロファイルはありますが、強制モードではなく、苦情モードで出荷されます。言い換えれば、ApparmorはそのままではFirefoxに対して何もしません。理由は簡単ですがここに記載されています

デフォルトのインストールのユーザーに対するエンドユーザーの影響は存在しません。firefoxパッケージは、開発サイクルの間、リリース前(またはサイクルのある時点)に無効化されるように更新される前に、苦情モードで出荷されます。ユーザーはプロファイルの使用を選択する必要があるため、AppArmorの制限によりfirefoxが予期しない動作をする可能性があることを知っておく必要があります。

次に、Apparmorについて「聞いた」または「読んだ」平均的なユーザーがプロファイルを強制モードにした場合に何が起こるかを考えます。間違いなく達成感があります。

次に、2010年のこのバグを見て、無作法な部分を無視します。タイトルに注意してください:「firefox apparmorプロファイルは寛大すぎます」。理由の一部をコメント#4でお読みください。

AppArmorは多くのことから保護できます。firefoxプロファイルは、ブラウザーによる任意のコードの実行や、所有していないファイル(/ etc / passwdなど)の読み取り/書き込み、ユーザーのgnome-keyring、sshキー、gnupgキー、履歴ファイルなどの機密ファイルの読み取り/書き込みを防ぎます、swp、バックアップファイル、rcファイル、および標準PATHのファイルへ。また、上記のアドオンと拡張機能も制限されます。Firefoxはデスクトップに統合されているため、ヘルパープログラムを開いてユーザーのデータにアクセスすることを許可する必要があります。プロファイルは、デフォルトである汎用デザインがされた状態で:
*有効にした場合であるとして、それはかなりのFirefoxのセキュリティを向上させ
、それは、人々は、彼らがしたいどのようにFirefoxのを閉じ込めるための開始点を提供します*
*実装により、ユーザーは必要に応じて厳密に微調整
できるようになります。もちろん、ユーザーのデータを保護するために、Firefoxをさらにロックダウンできます。〜/ Downloadsへの書き込みと〜/ Publicからの読み取りのみができるようにすることができます。ただし、これはアップストリームの設計から逸脱し、UbuntuのMozillaブランドを危険にさらす可能性が高く、最も重要なことにはユーザーを失望させます。Ubuntuのプロファイルは「防具の概念の違反」ですか?もちろんそうではありません- さまざまな攻撃やさまざまな形の情報開示からユーザーを保護しています。機能的なブラウザを提供するための配布要件です。あまりにも積極的なセキュリティ保護でそれを壊さないことは、ディストリビューションの選択です。ユーザー/管理者です

同様の議論がEvinceにも当てはまります。


セキュリティは常に複雑です。
jrg

@jrg、サブクエスチョンには「決定的な」答えを生成するのではなく、議論を生成する可能性があると思うのはそのためです。Apparmorを使用しないということを言っていることは何もしないでください。学習の一環として、Chrome(Chromiumではない)、Privoxy、およびSeamonkey用の独自のプロファイルを作成し、使用しています。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.