O AppArmor diminui o desempenho do sistema?

O AppArmor diminui o desempenho do sistema? Eu tenho um sistema lento (CPU de 900 MHz) que possui o AppArmor porque foi instalado por padrão. Gostaria de saber se fica mais rápido se removê-lo, a segurança é menos importante que o desempenho nesse sistema.

linux apparmor

— Petr
fonte

Provavelmente não tanto quanto algum processo sequestrado em execução o equivalente arm -rf --no-preserve-root /

— jackweirdy

Mas como esse processo entraria, por exemplo, em um sistema incorporado sem acesso à Internet e coisas do tipo? E por que no mundo eu executaria executáveis desconhecidos como usuário privilegiado?

— Petr

Meu exemplo foi um pouco exagerado, embora plausível em princípio. Nenhum acesso à Internet é diferente, mas considere a maioria dos roteadores sem fio modernos, switches gerenciados e sistemas SCADA - a maioria executa interfaces da Web para geração de relatórios e / ou configuração. Alguns até permitem que usuários autenticados modifiquem arquivos de configuração ou executem comandos. Imagine se fosse encontrada uma fraqueza nessas interfaces que permitiam que usuários não autenticados executassem comandos (provavelmente como raiz, pois os dispositivos incorporados geralmente têm apenas um usuário). Você deseja algum mecanismo para garantir que o material crucial (como / bin) não seja removido.

— jackweirdy

Se você está pensando em usar um dispositivo com pouca energia e absolutamente sem acesso à rede, pode ficar bem sem ele. Se tiver acesso à rede, trate-o como se tivesse acesso à Internet.

— jackweirdy

Respostas:

Obviamente, isso torna seu sistema lento. Até que ponto depende do que seus aplicativos fazem. Os acessos ao sistema de arquivos são mais lentos (porque precisam ser verificados) e todas as outras coisas que podem ser configuradas. Mas se um processo não abrir arquivos ou soquetes e assim por diante, ele não deverá ser afetado (após a inicialização).

Acabei de dar uma olhada no meu mecanismo de pesquisa favorito (por que não?) E o resultado é que o impacto é irrelevante na maioria dos casos.

— Hauke Laging
fonte

Eu mesmo pesquisei isso no google, encontrei um monte de links dizendo que não afeta isso e vários links dizendo o contrário. Sem resposta clara até agora ...

— Petr

btw quando eu google para ele agora, na maior parte apenas conectar-se a esta pergunta muito, nenhuma idéia do que você encontrou, mas não consigo encontrar qualquer resposta clara

— Petr

@ Pet Não é uma medida independente, é claro, mas os documentos da Novell dizem: "O desempenho não é afetado visivelmente pelo AppArmor". novell.com/documentation/opensuse103/opensuse103_reference/…

— Hauke Laging

ok então vale a pena desativar ou não?

— Petr

Parece não fazer sentido desativar o AppArmor por razões de desempenho.

— Hauke Laging

A menos que seja dito o contrário, provavelmente deve assumir "nenhum efeito perceptível" assume uma CPU de 1,8 GHz + e cerca de 512 MB de memória ou mais. Uma das minhas máquinas é 800MHz, 512MB de memória. O efeito de cada processo é perceptível. Só você pode julgar se vale a pena.

— DocSalvager
fonte

Depende do que o seu programa faz: com que frequência acessa arquivos, com que frequência gera novos programas, por quanto tempo é executado, ... O AppArmor é construído usando o [LSM] 1interface, que verifica todas as chamadas do sistema. O AppArmor pode ter um cache de acesso para acelerar acessos a arquivos recorrentes ou solicitações subseqüentes a um arquivo já aberto do mesmo processo, mas a sobrecarga mais notável ocorre durante a inicialização (o perfil de um programa deve ser carregado e é necessário iniciar alguma inicialização de contexto) ) Se você estiver disposto a julgar de alguma forma impraticável os piores casos, a seguir é apresentado um número comparando o AppArmor ao DAC (o modelo de permissão tradicional) durante um estudo sobre outra estrutura baseada em LSM (CMCAP-Linux). O sistema era um Linux 4.4.6 inicializado em um Intel Core2 Duo E8400 rodando em 3GHz com 8GB de RAM. O micro-benchmark consistiu em 10 execuções médias (em loop apertado) de 10 milhões de operações para o teste de abertura + fechamento e 10 mil para as 2 outras.

— Butshuti
fonte