AppArmor एक महत्वपूर्ण सुरक्षा विशेषता है जिसे Ubuntu 7.10 के बाद से डिफ़ॉल्ट रूप से उबंटू के साथ शामिल किया गया है। हालाँकि, यह पृष्ठभूमि में चुपचाप चलता है, इसलिए आपको पता नहीं चल सकता है कि यह क्या है और यह क्या कर रहा है।
AppArmor कमजोर प्रक्रियाओं को बंद कर देता है, इन प्रक्रियाओं में क्षति सुरक्षा कमजोरियों को रोक सकता है। AppArmor का उपयोग मोज़िला फ़ायरफ़ॉक्स को सुरक्षा बढ़ाने के लिए बंद करने के लिए भी किया जा सकता है, लेकिन यह डिफ़ॉल्ट रूप से ऐसा नहीं करता है।
AppArmor क्या है?
AppArmor SELinux के समान है, जिसे डिफ़ॉल्ट रूप से Fedora और Red Hat में उपयोग किया जाता है। जबकि वे अलग तरह से काम करते हैं, AppArmor और SELinux दोनों “अनिवार्य अभिगम नियंत्रण” (MAC) सुरक्षा प्रदान करते हैं। वास्तव में, AppArmor उबंटू के डेवलपर्स को कार्रवाई प्रक्रियाओं को प्रतिबंधित करने की अनुमति देता है।
उदाहरण के लिए, एक एप्लिकेशन जो उबंटू के डिफ़ॉल्ट कॉन्फ़िगरेशन में प्रतिबंधित है, वह एवियन पीडीएफ दर्शक है। जबकि एविसन आपके उपयोगकर्ता खाते के रूप में चल सकता है, यह केवल विशिष्ट कार्य कर सकता है। Evince में केवल PDF दस्तावेज़ों को चलाने और कार्य करने के लिए आवश्यक न्यूनतम अनुमतियाँ हैं। यदि एवियन के पीडीएफ रेंडर में एक भेद्यता की खोज की गई थी और आपने एक दुर्भावनापूर्ण पीडीएफ दस्तावेज़ खोला था जो एवियन पर ले लिया था, तो AppArmor नुकसान को सीमित कर सकता है जो एवियन कर सकता था। पारंपरिक लिनक्स सुरक्षा मॉडल में, एविसन आपके पास हर चीज तक पहुंच होगी। AppArmor के साथ, इसमें केवल उन चीजों तक पहुंच है जो एक पीडीएफ दर्शक को एक्सेस करने की आवश्यकता है।
AppArmor विशेष रूप से उन सॉफ़्टवेयर को प्रतिबंधित करने के लिए उपयोगी है जिनका शोषण किया जा सकता है, जैसे कि वेब ब्राउज़र या सर्वर सॉफ़्टवेयर।
AppArmor की स्थिति देखना
AppArmor की स्थिति देखने के लिए, टर्मिनल में निम्न कमांड चलाएँ:
सूदो apparmor_status
आप देखेंगे कि क्या AppArmor आपके सिस्टम पर चल रहा है (यह डिफ़ॉल्ट रूप से चल रहा है), AppArmor प्रोफाइल जो स्थापित हैं, और जो चल रही प्रक्रियाएँ हैं।
AppArmor प्रोफाइल
AppArmor में, प्रक्रियाओं को प्रोफाइल द्वारा प्रतिबंधित किया जाता है। ऊपर दी गई सूची हमें उन प्रोटोकॉल को दिखाती है जो सिस्टम पर स्थापित हैं - ये लोग उबंटू के साथ आते हैं। आप एपर्मोर-प्रोफाइल पैकेज को स्थापित करके अन्य प्रोफाइल भी स्थापित कर सकते हैं। कुछ पैकेज - सर्वर सॉफ्टवेयर, उदाहरण के लिए - अपने स्वयं के AppArmor प्रोफाइल के साथ आ सकते हैं जो पैकेज के साथ सिस्टम पर स्थापित हैं। सॉफ्टवेयर को प्रतिबंधित करने के लिए आप अपने खुद के AppArmor प्रोफाइल भी बना सकते हैं।
प्रोफाइल "शिकायत मोड" या "लागू मोड" में चल सकता है। एनफोर्स मोड में - उबंटू के साथ आने वाले प्रोफाइल के लिए डिफ़ॉल्ट सेटिंग - AppArmor अनुप्रयोगों को प्रतिबंधित कार्यों को लेने से रोकता है। शिकायत मोड में, AppArmor अनुप्रयोगों को प्रतिबंधित कार्रवाई करने की अनुमति देता है और इस बारे में शिकायत करने के लिए एक लॉग प्रविष्टि बनाता है। लागू मोड में सक्षम करने से पहले शिकायत मोड एक AppArmor प्रोफ़ाइल का परीक्षण करने के लिए आदर्श है - आपको कोई भी त्रुटि दिखाई देगी जो लागू मोड में होगी।
प्रोफ़ाइल को /etc/apparmor.d निर्देशिका में संग्रहीत किया जाता है। ये प्रोफ़ाइल सादे-पाठ फ़ाइलें हैं जिनमें टिप्पणियां हो सकती हैं।
फ़ायरफ़ॉक्स के लिए AppArmor को सक्षम करना
आप यह भी देख सकते हैं कि AppArmor फ़ायरफ़ॉक्स प्रोफ़ाइल के साथ आता है - यह है usr.bin.firefox में दर्ज करें /ेट्स/अपपरमोर.डी निर्देशिका। यह डिफ़ॉल्ट रूप से सक्षम नहीं है, क्योंकि यह फ़ायरफ़ॉक्स को बहुत अधिक प्रतिबंधित कर सकता है और समस्याओं का कारण बन सकता है। /ेट्स/अपपरमोर.डी/डिसएबल फ़ोल्डर में इस फ़ाइल का लिंक है, जो दर्शाता है कि यह अक्षम है।
फ़ायरफ़ॉक्स प्रोफ़ाइल को सक्षम करने और AppArmor के साथ फ़ायरफ़ॉक्स को सीमित करने के लिए, निम्नलिखित कमांड चलाएँ:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
आप इन आदेशों को चलाने के बाद, चलाएँ सूदो apparmor_status फिर से कमांड करें और आप देखेंगे कि फ़ायरफ़ॉक्स प्रोफाइल अब लोड हो गया है।
फ़ायरफ़ॉक्स प्रोफ़ाइल को अक्षम करने के लिए यदि यह समस्या पैदा कर रहा है, तो निम्न कमांड चलाएं:
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmor का उपयोग करने के बारे में अधिक विस्तृत जानकारी के लिए, आधिकारिक उबंटू सर्वर गाइड की सलाह लें AppArmor पर पेज .
