web-dev-qa-db-ja.com

AppArmorはシステムパフォーマンスを低下させますか?

AppArmorはシステムパフォーマンスを低下させますか? AppArmorがデフォルトでインストールされているため、低速のシステム(900 MHz CPU)を使用しています。削除すると高速になるかどうかを知りたいのですが、セキュリティはそのシステムのパフォーマンスよりも重要ではありません。

8
Petr

もちろん、それはあなたのシステムを遅くします。どの程度は、アプリケーションの動作によって異なります。ファイルシステムへのアクセスは遅くなり(チェックする必要があるため)、その他すべての構成が可能です。ただし、プロセスがファイルやソケットなどを開かない場合は、(初期化後)まったく影響を受けないはずです。

私は私のお気に入りの検索エンジンをざっと見たところ(なぜそうしなかったのですか?)、その結果、ほとんどの場合、影響は無関係です。

2
Hauke Laging

特に明記されていない限り、「目立った影響はない」とは、1.8GHz以上のCPUと約512MB以上のメモリを想定しているはずです。私のマシンの1つは、800MHz、512MBのメモリです。すべてのプロセスの効果は顕著です。それが価値があるかどうかを判断できるのはあなただけです。

1
DocSalvager

プログラムの機能によって異なります。ファイルにアクセスする頻度、新しいプログラムを生成する頻度、実行時間などです。AppArmorは [LSM] /を使用してビルドされます。1 インターフェイス。すべてのシステムコールをチェックします。 AppArmorには、同じプロセスから既に開いているファイルへの定期的なファイルアクセスまたは後続のリクエストを高速化するためのアクセスキャッシュがある場合がありますが、最も顕著なオーバーヘッドは初期化中です(プログラムのプロファイルをロードする必要があり、コンテキストの初期化を行う必要があります) )。最悪のケースをどういうわけか非現実的な判断にしたいと思っている場合、以下は、他のLSMベースのフレームワーク(CMCAP-Linux)の調査中に、AppArmorとDAC(従来の許可モデル)を比較した図です。システムは、8GBのRAMを搭載した3GHzで動作するIntel Core2 DuoE8400で起動されたLinux4.4.6でした。マイクロベンチマークは、オープン+クローズテストの場合は1,000万回の操作、その他2回の場合は10,000回の平均実行(タイトループ)で構成されていました。実生活でこれほど高い割合でプログラムを生み出す人は誰もいませんが、あなたは私の主張を理解しています。 System call overhead: DAC vs. CMCAP-Linux vs. AppArmor

1
Butshuti