AppArmor क्या है, और यह Ubuntu को कैसे सुरक्षित रखता है?
AppArmor एक महत्वपूर्ण सुरक्षा विशेषता है जिसे Ubuntu 7.10 के बाद से Ubuntu के साथ डिफ़ॉल्ट रूप से शामिल किया गया है। हालाँकि, यह पृष्ठभूमि में चुपचाप चलता है, इसलिए आपको पता नहीं चल सकता है कि यह क्या है और यह क्या कर रहा है.
AppArmor कमजोर प्रक्रियाओं को बंद कर देता है, इन प्रक्रियाओं में क्षति सुरक्षा कमजोरियों को रोक सकता है। AppArmor का उपयोग मोज़िला फ़ायरफ़ॉक्स को बढ़ाने के लिए सुरक्षा के लिए बंद करने के लिए भी किया जा सकता है, लेकिन यह डिफ़ॉल्ट रूप से ऐसा नहीं करता है.
AppArmor क्या है?
AppArmor SELinux के समान है, जिसका उपयोग डिफ़ॉल्ट रूप से Fedora और Red Hat में किया जाता है। जबकि वे अलग तरह से काम करते हैं, AppArmor और SELinux दोनों “अनिवार्य अभिगम नियंत्रण” (MAC) सुरक्षा प्रदान करते हैं। वास्तव में, AppArmor उबंटू के डेवलपर्स को कार्रवाई प्रक्रियाओं को प्रतिबंधित करने की अनुमति देता है.
उदाहरण के लिए, एक एप्लिकेशन जो उबंटू के डिफ़ॉल्ट कॉन्फ़िगरेशन में प्रतिबंधित है, वह एवियन पीडीएफ दर्शक है। जबकि एविसन आपके उपयोगकर्ता खाते के रूप में चल सकता है, यह केवल विशिष्ट कार्य कर सकता है। Evince में केवल PDF दस्तावेज़ों को चलाने और काम करने के लिए आवश्यक न्यूनतम अनुमतियाँ हैं। यदि एवियन के पीडीएफ रेंडरर में भेद्यता की खोज की गई थी और आपने एक दुर्भावनापूर्ण पीडीएफ डॉक्यूमेंट खोला है जो एवियन पर ले लिया है, तो AppArmor नुकसान को सीमित कर देगा जो एवियन कर सकता है। पारंपरिक लिनक्स सुरक्षा मॉडल में, एविसन आपके पास हर चीज तक पहुंच होगी। AppArmor के साथ, इसमें केवल उन चीजों तक पहुंच होती है जो एक पीडीएफ दर्शक को एक्सेस करने की आवश्यकता होती है.
AppArmor विशेष रूप से सॉफ़्टवेयर को प्रतिबंधित करने के लिए उपयोगी है, जिसका शोषण किया जा सकता है, जैसे कि वेब ब्राउज़र या सर्वर सॉफ़्टवेयर.
AppArmor की स्थिति देखना
AppArmor की स्थिति देखने के लिए, टर्मिनल में निम्न कमांड चलाएँ:
सूदो apparmor_status
आप देखेंगे कि क्या AppArmor आपके सिस्टम पर चल रहा है (यह डिफ़ॉल्ट रूप से चल रहा है), AppArmor प्रोफाइल जो इंस्टॉल की गई है, और जो चल रही प्रक्रियाएँ सीमित हैं.
AppArmor प्रोफाइल
AppArmor में, प्रक्रियाओं को प्रोफाइल द्वारा प्रतिबंधित किया जाता है। ऊपर दी गई सूची हमें उन प्रोटोकॉल को दिखाती है जो सिस्टम पर स्थापित हैं - ये लोग उबंटू के साथ आते हैं। आप एपर्मोर-प्रोफाइल पैकेज को स्थापित करके अन्य प्रोफाइल भी स्थापित कर सकते हैं। कुछ पैकेज - सर्वर सॉफ्टवेयर, उदाहरण के लिए - अपने स्वयं के AppArmor प्रोफाइल के साथ आ सकते हैं जो पैकेज के साथ सिस्टम पर स्थापित हैं। आप सॉफ्टवेयर को प्रतिबंधित करने के लिए अपने खुद के AppArmor प्रोफाइल भी बना सकते हैं.
प्रोफाइल "शिकायत मोड" या "एनफोर्स मोड" में चल सकता है - एनफोर्स मोड में - उबंटू के साथ आने वाले प्रोफाइल के लिए डिफ़ॉल्ट सेटिंग - ऐपआर्मर अनुप्रयोगों को प्रतिबंधित कार्यों को लेने से रोकता है। शिकायत मोड में, AppArmor अनुप्रयोगों को प्रतिबंधित कार्रवाई करने की अनुमति देता है और इस बारे में शिकायत करने के लिए एक लॉग प्रविष्टि बनाता है। लागू मोड में सक्षम करने से पहले AppArmor प्रोफ़ाइल का परीक्षण करने के लिए शिकायत मोड आदर्श है - आपको कोई भी त्रुटि दिखाई देगी जो कि एनफोर्स मोड में होती है.
प्रोफ़ाइल को /etc/apparmor.d निर्देशिका में संग्रहीत किया जाता है। ये प्रोफ़ाइल सादे-पाठ फ़ाइलें हैं जिनमें टिप्पणियां हो सकती हैं.
फ़ायरफ़ॉक्स के लिए AppArmor को सक्षम करना
आप यह भी देख सकते हैं कि AppArmor फ़ायरफ़ॉक्स प्रोफ़ाइल के साथ आता है - यह है usr.bin.firefox में दर्ज करें /etc/apparmor.d निर्देशिका। यह डिफ़ॉल्ट रूप से सक्षम नहीं है, क्योंकि यह फ़ायरफ़ॉक्स को बहुत अधिक प्रतिबंधित कर सकता है और समस्याओं का कारण बन सकता है। /etc/apparmor.d/disable फ़ोल्डर में इस फ़ाइल का लिंक है, जो दर्शाता है कि यह अक्षम है.
फ़ायरफ़ॉक्स प्रोफ़ाइल को सक्षम करने और AppArmor के साथ फ़ायरफ़ॉक्स को सीमित करने के लिए, निम्नलिखित कमांड चलाएँ:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | सूदो apparmor_parser -a
आप इन आदेशों को चलाने के बाद, चलाएँ सूदो apparmor_status फिर से कमांड करें और आप देखेंगे कि फ़ायरफ़ॉक्स प्रोफाइल अब लोड हो गया है.
यदि यह समस्या पैदा कर रहा है तो फ़ायरफ़ॉक्स प्रोफ़ाइल को अक्षम करने के लिए, निम्न कमांड चलाएँ:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmor का उपयोग करने के बारे में अधिक विस्तृत जानकारी के लिए, AppArmor पर आधिकारिक उबंटू सर्वर गाइड के पेज से परामर्श करें.