¿AppArmor disminuye el rendimiento del sistema?

Por supuesto, ralentiza su sistema. Hasta qué punto depende de lo que hagan sus aplicaciones. Los accesos al sistema de archivos son más lentos (porque hay que comprobarlos) y todo lo demás que se puede configurar. Pero si un proceso no abre archivos o sockets, etc., entonces no debería verse afectado en absoluto (después de la inicialización).

Acabo de echar un breve vistazo a mi motor de búsqueda favorito (¿por qué no lo hiciste tú?) y el resultado es que el impacto es irrelevante en la mayoría de los casos.

Depende de lo que haga su programa: con qué frecuencia accede a los archivos, con qué frecuencia genera nuevos programas, cuánto tiempo se ejecuta,... AppArmor se construye utilizando el[LSM]1interfaz, que comprueba cada llamada al sistema. AppArmor puede tener un caché de acceso para acelerar los accesos recurrentes a archivos o solicitudes posteriores a un archivo ya abierto desde el mismo proceso, pero la sobrecarga más notable es durante la inicialización (se debe cargar el perfil de un programa y se debe realizar alguna inicialización del contexto). ). Si está de humor para un juicio poco práctico sobre los peores casos, la siguiente es una figura que compara AppArmor con DAC (el modelo de permiso tradicional) durante un estudio sobre algún otro marco basado en LSM (CMCAP-Linux). El sistema era Linux 4.4.6 arrancado en un Intel Core2 Duo E8400 funcionando a 3 GHz con 8 GB de RAM. El micro-benchmark consistió en 10 ejecuciones promediadas (en bucles cerrados) de 10 millones de operaciones para la prueba de apertura y cierre y 10.000 para las otras dos. Nadie genera programas a un ritmo tan alto en la vida real, pero entiendes lo que quiero decir.

A menos que se indique lo contrario, probablemente debería asumir que "ningún efecto notable" supone una CPU de más de 1,8 GHz y aproximadamente 512 MB de memoria o más. Una de mis máquinas tiene 800 MHz y 512 MB de memoria. El efecto de cada proceso es notable. Sólo tú puedes juzgar si vale la pena.