Confronto tra Firejail e Apparmor

1

Mi piacerebbe capire in che modo Apparmor e FireJail si confrontano tra loro: vantaggi, pro e contro, scopi, somiglianze, ecc.

Potrei chiedere di confrontare le mele con le arance, tuttavia ho notato diverse somiglianze. Firejail ha "profili" e contengono un elenco di regole che ti permettono di definire quali file può usare un'applicazione. Apparmor ti consente di fare lo stesso, più o meno. Tuttavia Firejail consente anche di definire "capacità", e apparentemente cerca di isolare il processo anche se ottiene sempre privilegi di root (come in un contenitore?). Ad ogni modo, posso individuare alcune somiglianze, ma non ne conosco abbastanza bene per comprenderne tutte le caratteristiche e gli scopi.

    
posta reed 09.10.2018 - 00:50
fonte

1 risposta

1

AppArmor potrebbe essere più vicino rispetto a SELinux di FireJail, ma ecco le differenze.

Il più importante (IMO) è il livello in cui vengono eseguiti. FireJail viene eseguito come un programma in userspace mentre AppArmor viene eseguito a livello di kernel.

FireJail sfrutta gli spazi dei nomi di Linux per fornire l'isolamento su un livello utente, di montaggio, di rete e di processo. Questo isolamento fornisce all'applicazione la propria sandbox per fare tutto ciò che vuole, evitando al contempo che queste modifiche possano influenzare il resto del sistema. Puoi pensare che sia simile a un contenitore come hai detto tu. I contenitori utilizzano anche spazi dei nomi per l'isolamento .

Al contrario, AppArmor non fornisce sandboxing, piuttosto limita le parti del sistema a cui l'applicazione può accedere. Stai specificando risorse specifiche che un'app non può utilizzare. Queste risorse non sono tuttavia isolate, quindi due app in esecuzione con AppArmor con accesso alla stessa risorsa potrebbero interagire.

    
risposta data 09.10.2018 - 02:21
fonte

Leggi altre domande sui tag