¿Cómo puedo saber que apparmor está funcionando?

24

Algunas preguntas que quiero responder en la respuesta:

  • ¿Cómo sé si apparmor está funcionando?
  • ¿Cómo puedo saber si está funcionando bien?
Alvar
fuente

Respuestas:

17

Para conocer el estado de su armadura de aplicaciones, escriba este comando en su terminal.

sudo apparmor_status

por ejemplo, salida de muestra:ingrese la descripción de la imagen aquí

Para proporcionar un rendimiento de trabajo de Apparmor, creo que no hay una herramienta de medición. Como sé que tenemos que detectarlo por las cosas que suceden en tu PC, quiero decir algo anormal.

rɑːdʒɑ
fuente
7

Para abordar esta pregunta secundaria: ¿Cómo puedo saber si está funcionando bien?

Los perfiles de Apparmor son un trabajo en progreso. En consecuencia, los postes de la meta se mueven. Eche un vistazo a Poking Holes en AppArmor Profiles y la respuesta de Jamie Strandboge de Canonical aquí . Espero que estos dos enlaces te den una idea de la complejidad del problema.

Si desea retener la pregunta secundaria como parte de su pregunta es su decisión.

Disculpas de antemano por esta "no respuesta".

Edite para ilustrar más por qué esta subpregunta depende, por decir lo menos, del contexto:

Considere uno de los programas más populares: Firefox. Tiene un perfil pero se envía en modo de queja y no en modo obligatorio. En otras palabras, Apparmor no hace nada por Firefox fuera de la caja. La razón se establece aquí , aunque brevemente:

El impacto del usuario final para los usuarios en las instalaciones predeterminadas será inexistente. El paquete de Firefox se enviará en modo de queja durante el ciclo de desarrollo y antes de su lanzamiento (o en algún momento del ciclo) se actualizará para deshabilitarlo. Los usuarios deben optar por usar el perfil y, por lo tanto, deben saber que el confinamiento de AppArmor podría provocar que Firefox se comporte de forma inesperada.

Luego, considere lo que sucede cuando un usuario promedio que acaba de "escuchar" o "leer" sobre Apparmor pone el perfil en modo de imposición. Sin duda hay una sensación de logro.

Luego, mira este error de 2010, ignorando los bits groseros. Observe el título: "el perfil de Firefox apparmor es demasiado indulgente". Siga leyendo para conocer la justificación, en parte, en el Comentario # 4:

AppArmor puede proteger contra muchas cosas. El perfil de Firefox protege contra la ejecución de código arbitrario por parte del navegador y la lectura / escritura de archivos que no son de su propiedad (por ejemplo, / etc / passwd), lectura / escritura de archivos confidenciales como el llavero gnome del usuario, las teclas ssh, las teclas gnupg, los archivos de historial , swp, archivos de respaldo, archivos rc y archivos en la RUTA estándar. También limita los complementos y extensiones a lo anterior. Firefox está integrado en el escritorio y, por lo tanto, se le debe permitir abrir programas de ayuda y acceder a los datos del usuario. El perfil es, por defecto, de propósito general con el diseño:
* cuando está habilitado, mejora significativamente la seguridad de Firefox como es
* proporciona un punto de partida para que las personas confinen Firefox como quieran
* la implementación le da al usuario la capacidad de ajustarlo para que sea tan estricto como se desee.
Por supuesto, Firefox puede bloquearse más para proteger los datos del usuario. Podríamos hacerlo para que solo pudiera escribir en ~ / Downloads y leer desde ~ / Public. Sin embargo, esto se desvía del diseño de upstream, probablemente pondría en juego la marca Mozilla de Ubuntu y, lo más importante, frustraría a los usuarios. ¿Es el perfil de Ubuntu una "violación de la idea de apparmor"? Por supuesto que no, está protegiendo al usuario de varios ataques y muchas formas de divulgación de información. Es un requisito de distribución proporcionar un navegador funcional. Es una opción de distribución no romperlo con protecciones de seguridad demasiado agresivas. Es un usuario / administrador '

Argumentos similares se aplican a Evince.


fuente
La seguridad siempre es compleja.
jrg
@jrg, por eso creo que la subconsulta tiene el potencial de generar debate en lugar de generar una respuesta "definitiva". Por favor, no tome nada de lo que he dicho que significa que no uso Apparmor. Como parte de mis cosas de aprendizaje, he creado y uso mis propios perfiles para Chrome (no Chromium), Privoxy y Seamonkey.