我想了解 Apparmor 和 Firejail 之间的比较:优点、优点和缺点、目的、相似之处等。
我可能会要求将苹果与橙子进行比较,但我注意到了一些相似之处。Firejail 具有“配置文件”,它们包含允许您定义应用程序可以使用哪些文件的规则列表。Apparmor 让您或多或少地做同样的事情。然而,Firejail 还允许您定义“功能”,并且显然它会尝试隔离进程,即使它曾经获得 root 权限(就像它在容器中一样?)。无论如何,我可以发现一些相似之处,但我对它们中的任何一个都不够了解,无法理解它们的所有功能和目的。
AppArmor 与 SELinux 相比可能比 FireJail 更接近,但这里有一些区别。
最重要的(IMO)是它们运行的级别。FireJail 在用户空间作为程序运行,而 AppArmor 在内核级别运行。
FireJail 利用 Linux 命名空间提供用户、挂载、网络和进程级别的隔离。这种隔离为应用程序提供了它自己的沙箱,可以在其中做任何事情,同时防止这些更改影响系统的其余部分。您可以认为这类似于您所说的容器。容器也使用命名空间进行隔离。
相比之下,AppArmor 不提供沙盒,而是限制应用程序可以访问系统的哪些部分。您正在指定应用程序无法使用的特定资源。但是,这些资源并不是孤立的,因此运行 AppArmor 并访问同一资源的两个应用程序可以交互。