Снижает ли AppArmor производительность системы?

Question 1

Конечно, это замедляет вашу систему. Насколько это зависит от того, что делают ваши приложения. Доступ к файловой системе медленнее (потому что их нужно проверять) и все остальные вещи, которые можно настроить. Но если процесс не открывает файлы или сокеты и т. д., то он вообще не должен быть затронут (после инициализации).

Я только что бегло взглянул на свою любимую поисковую систему (а почему вы этого не сделали?) и пришел к выводу, что в большинстве случаев ее влияние несущественно.

Answer

Конечно, это замедляет вашу систему. Насколько это зависит от того, что делают ваши приложения. Доступ к файловой системе медленнее (потому что их нужно проверять) и все остальные вещи, которые можно настроить. Но если процесс не открывает файлы или сокеты и т. д., то он вообще не должен быть затронут (после инициализации).

Я только что бегло взглянул на свою любимую поисковую систему (а почему вы этого не сделали?) и пришел к выводу, что в большинстве случаев ее влияние несущественно.

Question 2

Это зависит от того, что делает ваша программа: как часто она обращается к файлам, как часто она создает новые программы, как долго она работает,... AppArmor создан с использованием[ЛСМ]1интерфейс, который проверяет каждый системный вызов. AppArmor может иметь кэш доступа для ускорения повторяющихся доступов к файлам или последующих запросов к уже открытому файлу из того же процесса, но самые заметные накладные расходы возникают во время инициализации (необходимо загрузить профиль программы и выполнить некоторую инициализацию контекста). Если вы настроены на непрактичное суждение о худших случаях, ниже приведен рисунок, сравнивающий AppArmor с DAC (традиционная модель разрешений) во время исследования на каком-то другом фреймворке на основе LSM (CMCAP-Linux). Система представляла собой Linux 4.4.6, загруженный на Intel Core2 Duo E8400, работающий на частоте 3 ГГц с 8 ГБ оперативной памяти. Микро-бенчмарк состоял из 10 усредненных запусков (в узких циклах) по 10 миллионов операций для теста открытия+закрытия и 10 тысяч для двух других. Никто не порождает программы с такой высокой скоростью в реальной жизни, но вы поняли, о чем я.

Answer

Это зависит от того, что делает ваша программа: как часто она обращается к файлам, как часто она создает новые программы, как долго она работает,... AppArmor создан с использованием[ЛСМ]1интерфейс, который проверяет каждый системный вызов. AppArmor может иметь кэш доступа для ускорения повторяющихся доступов к файлам или последующих запросов к уже открытому файлу из того же процесса, но самые заметные накладные расходы возникают во время инициализации (необходимо загрузить профиль программы и выполнить некоторую инициализацию контекста). Если вы настроены на непрактичное суждение о худших случаях, ниже приведен рисунок, сравнивающий AppArmor с DAC (традиционная модель разрешений) во время исследования на каком-то другом фреймворке на основе LSM (CMCAP-Linux). Система представляла собой Linux 4.4.6, загруженный на Intel Core2 Duo E8400, работающий на частоте 3 ГГц с 8 ГБ оперативной памяти. Микро-бенчмарк состоял из 10 усредненных запусков (в узких циклах) по 10 миллионов операций для теста открытия+закрытия и 10 тысяч для двух других. Никто не порождает программы с такой высокой скоростью в реальной жизни, но вы поняли, о чем я.

Question 3

Если не указано иное, вероятно, следует предположить, что "никакого заметного эффекта" подразумевает процессор 1,8 ГГц+ и около 512 МБ памяти или больше. Одна из моих машин имеет 800 МГц, 512 МБ памяти. Эффект каждого процесса заметен. Только вы можете судить, стоит ли оно того.

Answer

Если не указано иное, вероятно, следует предположить, что "никакого заметного эффекта" подразумевает процессор 1,8 ГГц+ и около 512 МБ памяти или больше. Одна из моих машин имеет 800 МГц, 512 МБ памяти. Эффект каждого процесса заметен. Только вы можете судить, стоит ли оно того.

Снижает ли AppArmor производительность системы?

решение1

решение2

решение3

Связанный контент