Hallo Kay, hallo Leute, Am Sonntag, 27. August 2006 12:52 schrieb Kay Patzwald:

wie sinnvoll ist Apparmor eigentlich für ein normales System? Teilweise ist hier zu lesen, dass es eines der neuen Systeme ist, was Linux ausbremst, bei mir ist es aber eigentlich nie weit oben in der Prozessliste zu finden. Wirkt sich die Bremse evtl. nur beim Systemstart aus?

AppArmor läuft auf Kernelebene, daher taucht es in der Prozessebene nicht als eigenständiger Prozess auf. Zum Thema "Bremse": AFAIK (an diversen Stellen gelesen) liegt der Performanceverlust deutlich unter 1% und ist teilweise nicht wirklich messbar. Sprich: kein nennenswerter Performance-Verlust. Ausgebremst wirst Du eher, wenn ein Profil bestimmte Aktionen eines Programms nicht erlaubt und das Programm mit "permission denied" reagiert. Da aber standardmäßig nur einige Programme überwacht werden (siehe /etc/apparmor.d), die zudem Konsolenprogramme und/oder einfache Netzwerkprogramme (ping, traceroute, ntp, ...) sind, ist dieses Problem in der Praxis eher selten. Ggf. kannst Du die Profile auch mit YaST updaten. Zusätzliche AppArmor-Profile, die weniger getestet sind und/oder aufgrund komplexer Konfigurationsmöglichkeiten der überwachten Programme öfter hinderlich sind, liegen in /etc/apparmor/profiles/extras. Diese kannst Du durch Kopieren nach /etc/apparmor.d/ aktivieren, musst aber damit rechnen, des öfteren "permission denied" zu sehen. Lesetipp: http://en.opensuse.org/Apparmor (oder http://de.opensuse.org/Apparmor) sowie das AppArmor-Handbuch (PDF) unter http://download.opensuse.org/distribution/SL-10.1/inst-source/docu/de/ Gruß Christian Boltz, der gerade einen Bugreport zu den useradd/userdel- Profilen aus extras eingereicht hat ;-) (#202095) -- 1.-4.9.2006: Weinfest in Insheim Pig Slip, Hifi-Delity, AH-Band, Frank Petersen und die Deafen Goblins spielen bei der Landjugend. Mehr Infos: www.Landjugend-Insheim.de