добавление попытки:
--no-parent
"Никогда не возрастайте к родительскому каталогу при получении рекурсивно. Это - полезная опция, так как она гарантирует, что только файлы ниже определенной иерархии будут загружены".
По моему опыту, это также предотвращает загрузку с других сайтов.
Конечно, это замедляет Вашу систему. К которому степень зависит от того, что делают Ваши приложения. Доступы к файловой системе медленнее (потому что они должны быть проверены), и все другие вещи, которые могут быть настроены. Но если процесс не открывает файлы или сокеты и так далее затем, он не должен быть затронут вообще (после инициализации).
У меня просто был короткий взгляд на мою любимую поисковую систему (почему не сделал Вас?) и результат состоит в том, что влияние не важно в большинстве случаев.
Если это не говорит иначе, вероятно, должен предположить, что "никакой значимый эффект" не принимает 1,8 ГГц + ЦП и приблизительно 512 МБ памяти или больше. Мои машины составляют 800 МГц, 512 МБ памяти. Эффект каждого процесса примечателен. Только можно судить, стоит ли это того.
Это зависит от того, что делает ваша программа, :как часто она обращается к файлам, как часто она порождает новые программы,сколько ходит,... AppArmor построен с использованием интерфейса [LSM]1 , который проверяет каждый системный вызов. AppArmor может иметь кеш доступа для ускорения повторяющихся обращений к файлам или последующих запросов к уже открытому файлу из того же процесса, но наиболее заметные накладные расходы возникают во время инициализации (: должен быть загружен профиль программы, а также инициализация некоторого контекста. иметь место ). Если вы настроены на какое-то непрактичное суждение о наихудших случаях, ниже приведен рисунок, сравнивающий AppArmor с DAC (традиционной моделью разрешений )во время исследования некоторой другой платформы на основе LSM -(CMCAP. -Linux ). Система представляла собой Linux 4.4.6, загруженный на Intel Core2 Duo E8400 с тактовой частотой 3 ГГц и 8 ГБ ОЗУ. Тест micro -состоял из 10 усредненных прогонов (в узких циклах )по 10 миллионов операций для теста open+close и 10 тысяч для двух других. В реальной жизни никто не создает программы с такой высокой скоростью, но вы меня понимаете.