我在防火墙后面运行 Linux 桌面。多年来我一直这样做,没有使用 apparmor;但最近我升级了我的发行版并安装了它。我看到了它的日志行,想知道 - 我为什么要在这东西上浪费时钟周期?...但这不是我的问题。为了打电话,我想了解:
apparmor 如何以显著的方式帮助我(一个没有运行某些暴露服务器的桌面用户)?(这可能值得我增加 I/O 开销)?
笔记:
- 以防万一 - 我正在使用 Devuan 3 Beowulf(~= Debian 10 Buster)。
- 无需评论 apparmor 是否足够有用 - 只需解释其实用性的主要方面。
答案1
我认为这个问题的答案始终取决于您的个人使用情况。如果您对管理系统充满信心,并且您了解并信任在其上运行的程序,那么您可能不会有任何问题。
使用防火墙显然与 AppArmor 的一项功能重叠,但您仍然可以使用它来确保应用程序不会通过以非预期/恶意的方式访问/修改本地文件而产生不当行为。
AppArmor 对性能的影响也不应该成为太大的问题,除非是 I/O 密集型任务。Unix StackExchange 上的这个旧答案。