O AppArmor diminui o desempenho do sistema?

Claro, isso retarda o seu sistema. Até que ponto depende do que seus aplicativos fazem. Os acessos ao sistema de arquivos são mais lentos (porque precisam ser verificados) e todas as outras coisas que podem ser configuradas. Mas se um processo não abrir arquivos ou soquetes e assim por diante, ele não deverá ser afetado de forma alguma (após a inicialização).

Acabei de dar uma breve olhada no meu mecanismo de busca favorito (por que você não fez?) E o resultado é que o impacto é irrelevante na maioria dos casos.

Depende do que o seu programa faz: com que frequência ele acessa arquivos, com que frequência gera novos programas, por quanto tempo ele é executado,... O AppArmor é construído usando o[LSM]1interface, que verifica cada chamada do sistema. O AppArmor pode ter um cache de acesso para acelerar acessos recorrentes a arquivos ou solicitações subsequentes a um arquivo já aberto do mesmo processo, mas a sobrecarga mais perceptível ocorre durante a inicialização (o perfil de um programa deve ser carregado e alguma inicialização de contexto deve ocorrer ). Se você estiver com vontade de fazer um julgamento impraticável dos piores casos, a seguir está uma figura comparando o AppArmor ao DAC (o modelo de permissão tradicional) durante um estudo sobre alguma outra estrutura baseada em LSM (CMCAP-Linux). O sistema era um Linux 4.4.6 inicializado em um Intel Core2 Duo E8400 rodando a 3GHz com 8GB de RAM. O micro-benchmark consistiu em 10 execuções médias (em loops estreitos) de 10 milhões de operações para o teste de abertura + fechamento e 10 mil para os outros 2. Ninguém gera programas em uma taxa tão alta na vida real, mas você entendeu.

A menos que seja dito o contrário, provavelmente deveria assumir que "nenhum efeito perceptível" pressupõe uma CPU de 1,8 GHz + e cerca de 512 MB de memória ou mais. Uma das minhas máquinas tem 800 MHz e 512 MB de memória. O efeito de cada processo é perceptível. Só você pode julgar se vale a pena.