Comparación entre Firejail y Apparmor

Navega tus respuestas
1

Me gustaría entender cómo Apparmor y Firejail se comparan entre sí: ventajas, ventajas y desventajas, propósitos, similitudes, etc.

Podría estar pidiendo comparar manzanas con naranjas, sin embargo, he notado varias similitudes. Firejail tiene "perfiles" y contienen una lista de reglas que le permiten definir qué archivos puede usar una aplicación. Apparmor te permite hacer lo mismo, más o menos. Sin embargo, Firejail también te permite definir "capacidades", y aparentemente intenta aislar el proceso incluso si alguna vez obtiene privilegios de root (¿como en un contenedor?). De todos modos, puedo detectar algunas similitudes, pero no conozco a ninguno de ellos lo suficiente como para entender todas sus características y propósitos.

    
pregunta reed 09.10.2018 - 00:50
fuente

1 respuesta

1

AppArmor podría estar más cerca en comparación con SELinux que con FireJail, pero aquí están las diferencias.

El más importante (IMO) es el nivel en el que se ejecutan. FireJail se ejecuta como un programa en el espacio de usuario mientras que AppArmor se ejecuta en el nivel del kernel.

FireJail aprovecha los espacios de nombres de Linux para proporcionar aislamiento a nivel de usuario, montaje, red y proceso. Este aislamiento proporciona a la aplicación su propia zona de pruebas para hacer lo que quiera mientras evita que esos cambios afecten al resto del sistema. Puedes pensar que esto es similar a un contenedor como dijiste. Los contenedores también usan espacios de nombres para el aislamiento .

Por el contrario, AppArmor no proporciona sandbox, sino que limita a qué partes del sistema puede acceder la aplicación. Estás especificando recursos específicos que una aplicación no puede usar. Sin embargo, estos recursos no están aislados, por lo que dos aplicaciones que se ejecutan con AppArmor con acceso al mismo recurso podrían interactuar.

    
respondido por el Daisetsu 09.10.2018 - 02:21
fuente

Lea otras preguntas en las etiquetas

Peligros de enviar números de Pin únicos una vez a través de http ¿Es posible enviar un dispositivo desde un WiFi privado para convertirlo en un WiFi público?