AppArmorはシステムのパフォーマンスを低下させますか?


8

AppArmorはシステムのパフォーマンスを低下させますか?AppArmorがデフォルトでインストールされているため、遅いシステム(900 MHz CPU)を使用しています。削除すると高速になるかどうかを知りたいです。セキュリティは、そのシステムのパフォーマンスほど重要ではありません。


恐らく、ハイジャックされた一部のプロセスと同等ではありませんrm -rf --no-preserve-root /
jackweirdy

しかし、そのようなプロセスはどのようにして行われるのでしょうか。たとえば、インターネットにアクセスできない組み込みシステムなどではどうでしょうか。そして、なぜ私は未知の実行可能ファイルを特権ユーザーとして実行するのでしょうか?
Petr

私の例は少し誇張されていましたが、原則としてもっともらしいです。インターネットアクセスは別の問題ではありませんが、ほとんどの最新のワイヤレスルーター、マネージドスイッチ、SCADAシステムを検討してください。ほとんどは、レポートや設定のためのWebインターフェイスを実行します。一部のユーザーは、認証されたユーザーが構成ファイルを変更したり、コマンドを実行したりすることもできます。認証されていないユーザーがコマンドを実行できるようなインターフェースに弱点が見つかったと想像してみてください(組み込みデバイスは多くの場合1人のユーザーしか持っていないため、rootのように)。重要なもの(/ binなど)が削除されないようにするためのメカニズムが必要です。
jackweirdy 2013

ネットワークアクセスがまったくない非常に低電力のデバイス用のapparmorを検討している場合は、それなしでも大丈夫です。ネットワークにアクセスできる場合は、インターネットにアクセスできるかのように扱います。
jackweirdy 2013

回答:


2

もちろん、システムの速度が低下します。どの程度かは、アプリケーションの機能によって異なります。ファイルシステムへのアクセスは遅くなり(チェックする必要があるため)、その他の構成可能なすべての項目にアクセスできます。ただし、プロセスがファイルやソケットを開かない場合などは、初期化後にまったく影響を受けません。

私は私のお気に入りの検索エンジンを少し見ただけで(なぜそうでしたか?)、その結果、ほとんどの場合、影響は無関係です。


私はこれを自分でグーグルで調べたところ、影響はないという一連のリンクと反対の一連のリンクを見つけました。これまでのところ明確な答えはありません...
Petr

ところで、私が今それをググるとき、それはほとんどこのまさに質問にリンクしているだけで、あなたが何を見つけたかはわかりませんが、私は明確な答えを見つけられません
Petr

@Petrもちろん、これは独立した測定値ではありませんが、Novellのドキュメントによれば、「パフォーマンスはAppArmorの影響をそれほど受けません」。novell.com/documentation/opensuse103/opensuse103_reference/...
Hauke Laging

わかりましたので、無効にする価値はありますか?
Petr

パフォーマンス上の理由から、AppArmorを無効にしても意味がないようです。
Hauke Laging 2013

1

特に明記しない限り、1.8 GHz以上のCPUと約512MB以上のメモリを想定すると、「目立った影響はない」と想定されます。私のマシンの1つは800MHz、512MBのメモリです。すべてのプロセスの影響が顕著です。それだけの価値があるかどうかを判断できるのはあなただけです。


1

それはあなたのプログラムが何をするかに依存します:ファイルにアクセスする頻度、新しいプログラムを生成する頻度、実行時間... AppArmorは[LSM]を使用してビルドされます1すべてのシステムコールをチェックするインターフェース。AppArmorには、同じプロセスから既に開いているファイルへの繰り返しのファイルアクセスまたは後続の要求を高速化するためのアクセスキャッシュがありますが、最も顕著なオーバーヘッドは初期化中です(プログラムのプロファイルをロードする必要があり、コンテキストの初期化を行う必要があります) )。最悪のケースのなんらかの非現実的な判断を好む場合、次の図は、他のLSMベースのフレームワーク(CMCAP-Linux)の調査中にAppArmorをDAC(従来のアクセス許可モデル)と比較した図です。システムは、8 GBのRAMを搭載した3 GHzで実行されているIntel Core2 Duo E8400でブートされたLinux 4.4.6でした。マイクロベンチマークは、開閉テストで1,000万回の操作(タイトループで)を10回実行し、その他の2回で平均10万回の実行で構成されました。 システムコールのオーバーヘッド:DAC対CMCAP-Linux対AppArmor

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.