Verringert AppArmor die Systemleistung?

8

Verringert AppArmor die Systemleistung? Ich habe ein langsames System (900-MHz-CPU) mit AppArmor, da es standardmäßig installiert wurde. Ich würde gerne wissen, ob es schneller wird, wenn ich es entferne. Sicherheit ist weniger wichtig als Leistung auf diesem System.

Petr
quelle
Wahrscheinlich nicht so viel wie ein entführter Prozess, der das Äquivalent vonrm -rf --no-preserve-root /
jackweirdy
Aber wie würde ein solcher Prozess in ein eingebettetes System ohne Internetzugang und dergleichen gelangen? Und warum in aller Welt sollte ich unbekannte ausführbare Dateien als privilegierter Benutzer ausführen?
Petr
Mein Beispiel war etwas übertrieben, wenn auch im Prinzip plausibel. Kein Internetzugang ist eine andere Sache, aber berücksichtigen Sie die meisten modernen WLAN-Router, verwalteten Switches und SCADA-Systeme - die meisten verwenden Webschnittstellen für die Berichterstellung und / oder Konfiguration. Einige erlauben authentifizierten Benutzern sogar, Konfigurationsdateien zu ändern oder Befehle auszuführen. Stellen Sie sich vor, in solchen Schnittstellen wurde eine Schwachstelle gefunden, die es nicht authentifizierten Benutzern ermöglichte, Befehle auszuführen (wahrscheinlich als Root, da eingebettete Geräte häufig nur einen Benutzer haben). Sie möchten einen Mechanismus, der sicherstellt, dass das entscheidende Material (wie / bin) nicht entfernt wird.
Jackweirdy
Wenn Sie Apparmor für ein Gerät mit sehr geringem Stromverbrauch ohne Netzwerkzugriff in Betracht ziehen, sind Sie möglicherweise ohne dieses Gerät in Ordnung. Wenn es über einen Netzwerkzugriff verfügt, behandeln Sie es so, als hätte es einen Internetzugang.
Jackweirdy

Antworten:

2

Natürlich verlangsamt es Ihr System. Inwieweit hängt davon ab, was Ihre Anwendungen tun. Dateisystemzugriffe sind langsamer (weil sie überprüft werden müssen) und alle anderen Dinge, die konfiguriert werden können. Wenn ein Prozess jedoch keine Dateien oder Sockets usw. öffnet, sollte er (nach der Initialisierung) überhaupt nicht betroffen sein.

Ich habe mir nur kurz meine Lieblingssuchmaschine angesehen (warum nicht?) Und das Ergebnis ist, dass die Auswirkungen in den meisten Fällen irrelevant sind.

Hauke ​​Laging
quelle
Ich habe das selbst gegoogelt, ich habe eine Reihe von Links gefunden, die besagen, dass es keinen Einfluss darauf hat, und eine Reihe von Links, die das Gegenteil sagen. Bisher keine klare Antwort ...
Petr
Übrigens, wenn ich jetzt danach google, verlinkt es meistens nur auf diese Frage, keine Ahnung, was Sie gefunden haben, aber ich finde keine klare Antwort
Petr
@Petr Das ist natürlich keine unabhängige Messung, aber die Novell-Dokumente sagen: "Die Leistung wird von AppArmor nicht merklich beeinträchtigt." novell.com/documentation/opensuse103/opensuse103_reference/…
Hauke ​​Laging
ok also lohnt sich das deaktivieren oder nicht?
Petr
Es scheint aus Leistungsgründen nicht sinnvoll zu sein, AppArmor zu deaktivieren.
Hauke ​​Laging
1

Sofern nicht anders angegeben, sollte wahrscheinlich angenommen werden, dass "kein wahrnehmbarer Effekt" eine 1,8 GHz + CPU und etwa 512 MB Speicher oder mehr voraussetzt. Eine meiner Maschinen ist 800 MHz, 512 MB Speicher. Die Wirkung jedes Prozesses ist spürbar. Nur Sie können beurteilen, ob es sich lohnt.

DocSalvager
quelle
1

Es hängt davon ab, was Ihr Programm tut: Wie oft greift es auf Dateien zu, wie oft erzeugt es neue Programme, wie lange läuft es, ... AppArmor wird mit [LSM] 1 erstelltSchnittstelle, die jeden Systemaufruf überprüft. AppArmor verfügt möglicherweise über einen Zugriffscache, um wiederkehrende Dateizugriffe oder nachfolgende Anforderungen an eine bereits geöffnete Datei aus demselben Prozess zu beschleunigen. Der auffälligste Overhead ist jedoch während der Initialisierung (das Profil eines Programms muss geladen werden, und es muss eine Kontextinitialisierung stattfinden ). Wenn Sie in der Stimmung sind, die schlimmsten Fälle irgendwie unpraktisch zu beurteilen, sehen Sie im Folgenden AppArmor mit DAC (dem traditionellen Berechtigungsmodell) während einer Studie über ein anderes LSM-basiertes Framework (CMCAP-Linux). Das System war ein Linux 4.4.6, das auf einem Intel Core2 Duo E8400 mit 3 GHz und 8 GB RAM gestartet wurde. Der Mikro-Benchmark bestand aus 10 gemittelten Läufen (in engen Schleifen) von 10 Millionen Operationen für den Open + Close-Test und 10 Tausend für die 2 anderen. Systemaufruf-Overhead: DAC vs. CMCAP-Linux vs. AppArmor

Butshuti
quelle