Comment puis-je savoir que l'apparmeur fonctionne?


24

Quelques questions auxquelles je veux répondre dans la réponse:

  • Comment savoir si l'apparmeur est en cours d'exécution?
  • Comment savoir si cela fonctionne bien?

Réponses:


17

Pour connaître l'état de votre application-armor, tapez cette commande dans votre terminal.

sudo apparmor_status

par exemple, exemple de sortie:entrez la description de l'image ici

Pour donner des performances de travail d'Apparmor, je pense qu'il n'y a pas d'outil de mesure. Comme je sais que nous devons le détecter par les choses qui se passent autour de votre PC, je veux dire quelque chose d'anormal.


7

Pour répondre à cette sous-question: comment savoir si cela fonctionne bien?

Les profils des apparmeurs sont en cours d'élaboration. Par conséquent, les poteaux de but se déplacent. Veuillez jeter un œil à Poking Holes dans les profils AppArmor et à la réponse de Jamie Strandboge de Canonical ici . J'espère que ces deux liens vous donneront une idée de la complexité du problème.

Si vous souhaitez conserver la sous-question dans le cadre de votre question, c'est votre décision.

Toutes mes excuses à l'avance pour cette "non-réponse".

Modifier pour illustrer davantage pourquoi cette sous-question dépend, pour le moins, du contexte:

Considérez l'un des programmes les plus populaires: Firefox. Il a un profil mais il est expédié en mode plainte et non en mode forcé. En d'autres termes, Apparmor ne fait rien pour Firefox prêt à l'emploi. La raison est indiquée ici , quoique brièvement:

L'impact sur l'utilisateur final pour les utilisateurs des installations par défaut sera inexistant. Le package firefox sera expédié en mode plainte pendant le cycle de développement et avant la sortie (ou à un moment donné du cycle) sera mis à jour pour être désactivé. Les utilisateurs doivent accepter d'utiliser le profil et doivent donc savoir que le confinement AppArmor pourrait provoquer un comportement inattendu de Firefox.

Ensuite, réfléchissez à ce qui se passe lorsqu'un utilisateur moyen qui vient "d'entendre" ou de "lire" à propos d'Apparmor met le profil en mode d'application. Il y a sans aucun doute un sentiment d'accomplissement.

Ensuite, regardez ce bug de 2010, en ignorant les bits grossiers. Notez le titre: "Le profil de Firefox Apparmor est trop indulgent". Lisez la justification, en partie, dans le commentaire n ° 4:

AppArmor peut protéger contre de nombreuses choses. Le profil firefox protège contre l'exécution de code arbitraire par le navigateur et la lecture / écriture de fichiers que vous ne possédez pas (par exemple / etc / passwd), la lecture / écriture de fichiers sensibles comme le gnome-keyring de l'utilisateur, les clés ssh, les clés gnupg, les fichiers d'historique , swp, fichiers de sauvegarde, fichiers rc et aux fichiers dans le CHEMIN standard. Il limite également les modules complémentaires et les extensions ci-dessus. Firefox est intégré au bureau et il doit donc être autorisé à ouvrir des programmes d'assistance et à accéder aux données de l'utilisateur. Le profil est par défaut à usage général avec la conception étant:
* lorsqu'il est activé, il améliore considérablement la sécurité de firefox tel
quel * il fournit un point de départ pour que les gens confinent firefox comme ils veulent
* la mise en œuvre donne à l'utilisateur la possibilité de l'affiner pour être aussi strict que souhaité
Bien sûr, Firefox peut être verrouillé davantage pour protéger les données de l'utilisateur. Nous pourrions faire en sorte qu'il ne puisse écrire que dans ~ / Downloads et lire dans ~ / Public. Cependant, cela s'écarte de la conception en amont, mettrait probablement en jeu la marque Mozilla d'Ubuntu, et surtout frustrerait les utilisateurs. Le profil d'Ubuntu est-il une "violation de l'idée d'apparmeur"? Bien sûr que non - il est de protéger de diverses attaques de l' utilisateur et de nombreuses formes de divulgation de l' information. Il s'agit d'une exigence de distribution pour fournir un navigateur fonctionnel. C'est un choix de distribution pour ne pas le casser avec des protections de sécurité trop agressives. C'est un utilisateur / administrateur »

Des arguments similaires s'appliquent à Evince.


La sécurité est toujours complexe.
jrg

@jrg, C'est pourquoi je pense que la sous-question a le potentiel de générer un débat plutôt que de générer une réponse "définitive". Veuillez ne pas prendre ce que j'ai dit pour signifier que je n'utilise pas Apparmor. Dans le cadre de mes apprentissages, j'ai créé et utilisé mes propres profils pour Chrome (pas Chromium), Privoxy et Seamonkey.
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.