LSM je součástí jádra. A řeč byla o odizolování aplikace, to s real-time kontrolou otevíraných souborů externí apkou nemá moc společného. Navíc to, že ve Widlích může AV kontrolovat každou aplikaci v systému je právě dané šílenou děravostí toho systému, v každém případě je to OT.
AppArmor, ale není součástí jádra, je to externí aplikace. LSM si jen tak sám nemůžeš ovládat (nebo jsi zkoušel psát injectovaný kód do syscallů?), to není api, to je hook inject.
Ne, řeč byla přímo o tomhle tvrzení, které jsi začal nesmyslně rozporovat přes AA, který to neřeší:
pokud jde o desktop, tak bezpečnost linuxu a ani *BSD není vysoká, chybí jim totiž transparentní možnost jak oddělit práva procesů spuštěných pod stejným uživatelem. Ubuntu se to snaží dělat přes snap, openBSD to řeší/neřeší zároveň, ale proti ochranám, které mají Windows nebo MacOS, to je nesrovnatelné, musíš se na těch systémech chovat hodně odpovědně a případně si řadu věcí ošetřit sám.
Stejná situace je i s Mac OS, poskytuje api pro integraci bezpečnostních aplikací a mohou vzniknout věci jako little snitch, také je pro tebe děravý? Jak na Linux zajistíš alternativu k UAC nebo Privacy preferences (u Mac OS) pro desktopové aplikace? Sudo a spouštět aplikaci s právy root? Opravdu? Nebo jaké je alternativu na linuxu k memory exploit mitigation (nebo využívání anonymous executable memory aka ROP exploity), což je třeba kritické při přehrávání videí v prohlížeči? Množství úspěšných útoků a malwarů pro linux roste meziročně o desítky procent i v CZ prostředí (jsem z oboru), objevují se čím dál více fileless malwary (proti tomu AA nechrání v podstatě vůbec).
Ono to jde i dál, ochrana jádra před superuživatelem, u Windowsu ani Mac OS nejsem schopný jednoduše jádro napadnout, ikdyž jako nějaký zákeřný program dostane práva (např. tím, že jsem přibalený k nějakému legitimnímu programu). Na Linuxu máš díky AppArmor otevřený LSM, což jsou zadní vrátky do celého systému (stejně jako eBPF). Pokud zapneš direktivu kernelu SECURITY_LOCKDOWN_LSM_EARLY, ztratíš možnost měnit AA profily za běhu systému a pro každou změnu musíš dělat restart, v opačném případě jsi náchylný k řadě útoků. Kdyby v tomhle byl Linux v pořádku, nemusí vznikat projekty jako
https://github.com/linux-lock/bpflock, však si přečti odůvodnění, to nejsou pohádky, ale reálné problémy.
Linux lze dobře zabezpečit pro spouštění kontrolovaného provozu, AA a jiné nástroje jsou strašně silné, ale znamená to, že znám dobře každou aplikaci, mohu hledat anomálie v logách. Tohle ale už dobře nefunguje pro desktop, kde přes AA není možné chránit aplikace mezi sebou, mezi tím, aby si navzájem šahali do paměti nebo si posílali signály, AA tohle neřeší, řeší to třeba cgroup, ale u toho neexistuje distribuce, která by všechny aplikace spouštěla ve vlastní cgroupě (ano, cgrules.conf si musím dělat sám a nachystat pro vše, co spouštím, nelze vynutit pro všechny aplikace striktně).
Sám si musíš být vědom, kde AA má svoje limity a co vlastně vůbec neřeší.