AppArmor कमजोर प्रक्रियाओं को बंद कर देता है, इन प्रक्रियाओं में क्षति सुरक्षा भेद्यता को सीमित कर सकता है। AppArmor का उपयोग बढ़ी हुई सुरक्षा के लिए मोज़िला फ़ायरफ़ॉक्स को लॉक करने के लिए भी किया जा सकता है, लेकिन यह डिफ़ॉल्ट रूप से ऐसा नहीं करता है।
AppArmor क्या है?
AppArmor SELinux के समान है, जो फेडोरा और रेड हैट में डिफ़ॉल्ट रूप से उपयोग किया जाता है। जबकि वे अलग-अलग काम करते हैं, ऐपअर्मोर और सेल्लिनक्स दोनों "अनिवार्य पहुंच नियंत्रण" (मैक) सुरक्षा प्रदान करते हैं। असल में, AppArmor उबंटू के डेवलपर्स को कार्य प्रक्रियाओं को प्रतिबंधित करने की अनुमति देता है।
उदाहरण के लिए, उबंटू की डिफ़ॉल्ट कॉन्फ़िगरेशन में प्रतिबंधित एक एप्लिकेशन Evince पीडीएफ व्यूअर है। जबकि Evince आपके उपयोगकर्ता खाते के रूप में चलाया जा सकता है, यह केवल विशिष्ट कार्यवाही कर सकता है। Evince केवल पीडीएफ दस्तावेजों के साथ चलाने और काम करने के लिए आवश्यक न्यूनतम अनुमतियों है। यदि इवेंस के पीडीएफ रेंडरर में भेद्यता की खोज की गई और आपने एक दुर्भावनापूर्ण पीडीएफ दस्तावेज खोला जो इविन्स को ले गया, ऐपअर्मर इवेंस को नुकसान पहुंचाएगा। पारंपरिक लिनक्स सुरक्षा मॉडल में, इवेंस के पास आपके पास पहुंचने वाली सभी चीज़ों तक पहुंच होगी। AppArmor के साथ, केवल उन चीजों तक पहुंच है जिनके लिए पीडीएफ व्यूअर को एक्सेस की आवश्यकता होती है।
AppArmor विशेष रूप से सॉफ़्टवेयर को प्रतिबंधित करने के लिए उपयोगी है जिसका उपयोग किया जा सकता है, जैसे वेब ब्राउज़र या सर्वर सॉफ़्टवेयर।
AppArmor की स्थिति देखना
AppArmor की स्थिति देखने के लिए, टर्मिनल में निम्न आदेश चलाएं:
sudo apparmor_status
आप देखेंगे कि AppArmor आपके सिस्टम पर चल रहा है (यह डिफ़ॉल्ट रूप से चल रहा है), इंस्टॉल किए गए AppArmor प्रोफाइल, और सीमित प्रक्रियाएं चल रही हैं।
AppArmor प्रोफाइल
AppArmor में, प्रक्रियाएं प्रोफाइल द्वारा प्रतिबंधित हैं। उपर्युक्त सूची हमें प्रोटोकॉल दिखाती है जो सिस्टम पर स्थापित हैं - ये उबंटू के साथ आती हैं। आप एपर्मर-प्रोफाइल पैकेज इंस्टॉल करके अन्य प्रोफाइल भी इंस्टॉल कर सकते हैं। कुछ संकुल - सर्वर सॉफ़्टवेयर, उदाहरण के लिए - अपने स्वयं के AppArmor प्रोफाइल के साथ आ सकते हैं जो पैकेज के साथ सिस्टम पर स्थापित हैं। आप सॉफ्टवेयर को प्रतिबंधित करने के लिए अपनी खुद की AppArmor प्रोफाइल भी बना सकते हैं।
प्रोफ़ाइल "शिकायत मोड" या "प्रवर्तन मोड" में चल सकती हैं। प्रवर्तन मोड में - उबंटू के साथ आने वाली प्रोफाइल के लिए डिफ़ॉल्ट सेटिंग - AppArmor अनुप्रयोगों को प्रतिबंधित कार्रवाइयों से रोकता है। शिकायत मोड में, AppArmor अनुप्रयोगों को प्रतिबंधित क्रियाएं करने की अनुमति देता है और इसके बारे में शिकायत करने वाली लॉग प्रविष्टि बनाता है। शिकायत मोड लागू करने के तरीके में सक्षम करने से पहले AppArmor प्रोफ़ाइल का परीक्षण करने के लिए आदर्श है - आपको लागू त्रुटियों में होने वाली कोई भी त्रुटि दिखाई देगी।
प्रोफाइल /etc/apparmor.d निर्देशिका में संग्रहीत हैं। ये प्रोफाइल सादे-पाठ फ़ाइलें हैं जिनमें टिप्पणियां हो सकती हैं।
फ़ायरफ़ॉक्स के लिए AppArmor सक्षम करना
आप यह भी ध्यान दे सकते हैं कि AppArmor फ़ायरफ़ॉक्स प्रोफाइल के साथ आता है - यह है usr.bin.firefox में फ़ाइल /etc/apparmor.d निर्देशिका। यह डिफ़ॉल्ट रूप से सक्षम नहीं है, क्योंकि यह फ़ायरफ़ॉक्स को बहुत अधिक प्रतिबंधित कर सकता है और समस्याएं पैदा कर सकता है। /etc/apparmor.d/disable फ़ोल्डर में इस फ़ाइल का एक लिंक है, जो दर्शाता है कि यह अक्षम है।
फ़ायरफ़ॉक्स प्रोफाइल को सक्षम करने और फ़ायरफ़ॉक्स को AppArmor से सीमित करने के लिए, निम्न आदेश चलाएं:
sudo rm /etc/apparmor.d/disable/usr.bin.firefox
cat /etc/apparmor.d/usr.bin.firefox | sudo apparmor_parser –a
इन आदेशों को चलाने के बाद, चलाएं sudo apparmor_status फिर से आदेश दें और आप देखेंगे कि फ़ायरफ़ॉक्स प्रोफाइल अब लोड हो गए हैं।
sudo ln -s /etc/apparmor.d/usr.bin.firefox /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox
AppArmor का उपयोग करने के बारे में अधिक विस्तृत जानकारी के लिए, AppArmor पर आधिकारिक उबंटू सर्वर गाइड के पृष्ठ से परामर्श लें।