कई हफ्ते पहले, मैंने एक लेख लिखा था जिसमें AppArmor हार्डनिंग टूल का एक बुनियादी अवलोकन प्रदान किया गया था, यह समझाया गया था कि यह कैसे काम करता है, और आपको फ़ायरफ़ॉक्स ब्राउज़र को कैसे सीमित और कठोर करना है, इस पर एक व्यावहारिक उदाहरण दिखाया। लेकिन प्रतीक्षा करें, केवल फ़ायरफ़ॉक्स ही नहीं, बल्कि विशेष रूप से टैरबॉल संस्करण जिसे आप मोज़िला से डाउनलोड कर सकते हैं। मैं टार आर्काइव की बात कर रहा हूं। पकड़ो, निकालो, भागो।
अब तक सब ठीक है। अपने कुबंटु इंस्टालेशन से AppArmor प्रोफाइल (टेम्प्लेट) का उपयोग करके, मैं अपने होम डायरेक्टरी से चल रहे फ़ायरफ़ॉक्स टार संस्करण के लिए एक कस्टम नियम बनाने के लिए, छोटे संशोधनों के साथ सक्षम था। चीजें ठीक हैं, लेकिन एक समस्या है। डिफ़ॉल्ट रूप से, यह अपडेट नहीं हो सकता। हम इसे अभी ठीक कर देंगे।
समस्या के बारे में विस्तार से
तो, क्या होता है निम्नलिखित है। यदि आप फ़ायरफ़ॉक्स टार संस्करण का उपयोग करते हैं, तो इसमें स्वतः अपडेट करने का विकल्प होता है, जैसा कि आप विंडोज़ में देखते हैं। मूल रूप से, ब्राउज़र को एक अपडेट मिलेगा, आप इसे पुनः आरंभ करें, काम हो गया। आपको मैन्युअल रूप से कुछ भी पुनः इंस्टॉल करने की आवश्यकता नहीं है, आप बस ब्राउज़र को वहीं से चलाते रहें जहां से आपने इसे पहली बार निकाला था, जैसे कि ~/फ़ायरफ़ॉक्स/ या कुछ और।
हालाँकि, मेरे AppArmor प्रोफ़ाइल के साथ, ब्राउज़र स्वयं-अपडेट नहीं कर सकता (ऊपर स्क्रीनशॉट देखें)। यह आपको बताएगा कि अपडेट उपलब्ध हैं, और आप उन्हें मैन्युअल रूप से डाउनलोड कर सकते हैं। वास्तव में, काफी कुछ उपाय हैं:
- आप AppArmor नियम को हटा सकते हैं, और अगले ब्राउज़र के पुनरारंभ होने पर, फ़ायरफ़ॉक्स स्वयं-अपडेट करने में सक्षम होगा। लेकिन यह बोझिल है। और आपको नियम को बाद में फिर से लागू करना होगा।
sudo apparmor_parser -R "आपके फ़ायरफ़ॉक्स टार संस्करण प्रोफ़ाइल का नाम"
- आप मैन्युअल रूप से आधिकारिक साइट पर जा सकते हैं, नया टैरबॉल संग्रह डाउनलोड कर सकते हैं, और फिर इसे पुराने पर निकाल सकते हैं, या बस इसे निकाल सकते हैं और मैन्युअल रूप से सभी फाइलों को नए फ़ोल्डर से कॉपी कर सकते हैं जहां भी आप फ़ायरफ़ॉक्स रखते हैं। यह किसी भी तरह से आपकी Firefox प्रोफ़ाइल को प्रभावित नहीं करेगा।
tar -xvf "टारबॉल"
cp -ar "टारबॉल एक्सट्रैक्ट फोल्डर"/* "फ़ायरफ़ॉक्स इंस्टॉलेशन फ़ोल्डर"/
हालांकि, ये सिर्फ (आसान) सेमी-फिक्स हैं, और हम कुछ और ठोस चाहते हैं।
समाधान
वास्तविक सुधार AppArmor प्रोफ़ाइल के माध्यम से जाना है और यह समझना है कि कौन से नियम एक विरोध पैदा करते हैं। सामान्य तौर पर, प्रोफ़ाइल में प्रत्येक पंक्ति एक नियम है जो चुनिंदा रूप से कुछ की अनुमति देता है (जैसे किसी निर्देशिका को पढ़ना लेकिन लिखना नहीं), या किसी विशिष्ट संसाधन तक पहुंच को पूरी तरह से अस्वीकार करता है। जो कुछ भी स्पष्ट रूप से नहीं लिखा गया है वह प्रोफ़ाइल द्वारा कवर नहीं किया जाएगा।
फ़ाइल में डिफ़ॉल्ट नियमों में से एक फ़ायरफ़ॉक्स इंस्टॉलेशन डायरेक्टरी के अंदर फ़ाइलों और फ़ोल्डरों तक लिखने की पहुँच को अस्वीकार करना है। यह डिफ़ॉल्ट प्रोफाइल के लिए समझ में आता है कि कब और कहाँ सिस्टम निर्देशिका में फ़ायरफ़ॉक्स स्थापित किया गया है, लेकिन जरूरी नहीं कि अगर आप फ़ायरफ़ॉक्स को अपने अलग स्थान पर स्थापित करते हैं।
इनकार @{MOZ_LIBDIR}/** w,
हम इस नियम पर टिप्पणी कर सकते हैं, फ़ायरफ़ॉक्स प्रोफ़ाइल को पुनः लोड कर सकते हैं, और काम हो गया:
sudo apparmor_parser -r "प्रोफ़ाइल नाम"
निष्कर्ष
काम किया। फ़ायरफ़ॉक्स टार संस्करण (वापस) को अपनी स्वयं-अद्यतन क्षमता देने के लिए यह छोटा और सरल परिवर्तन है। अब, यदि आप अति-सुरक्षा-सचेत हैं, तो आप कह सकते हैं कि यह अच्छा नहीं है या क्या नहीं है, और यदि आवश्यक हो तो मैन्युअल अपडेट करने के साथ आप ठीक हैं। आप हमेशा उस ट्रिक का सहारा ले सकते हैं। लेकिन अगर आप कुछ सुविधा चाहते हैं, और अभी भी AppArmor प्रोफ़ाइल का बड़ा हिस्सा आपके लिए काम कर रहा है, तो आप ब्राउज़र को उसके इंस्टॉलेशन फ़ोल्डर में लिखने में सक्षम होने की अनुमति दे सकते हैं। बस संभावित परिणामों से अवगत रहें।
उम्मीद है, यह मार्गदर्शिका इस विषय के आसपास आपके कुछ प्रश्नों को स्पष्ट या स्पष्ट करती है। लेकिन फिर, हम नहीं कर रहे हैं। अगला, हम डी-बस और विशेष रूप से फ़ायरफ़ॉक्स को केडीई/प्लाज्मा एकीकरण सुविधाओं का उपयोग करने की क्षमता देने के लिए आवश्यक किसी भी नियम के बारे में बात करेंगे। शायद यह केडीई-विशिष्ट लगता है, लेकिन मैं यह सुनिश्चित करूँगा कि ट्यूटोरियल किसी भी प्रकार की ब्राउज़र एकीकरण कार्यक्षमता के लिए लागू होने के लिए पर्याप्त सामान्य है। अगली बार तक, प्रिय साथी पढ़ाकू।
चीयर्स।