ایمبیڈڈ، موبائل ڈیوائسز اور سرورز پر لینکس OS کی زبردست کامیابی کی ایک وجہ کرنل، متعلقہ خدمات اور ایپلی کیشنز کی کافی حد تک سیکیورٹی ہے۔ لیکن اگر لینکس کرنل کے فن تعمیر کے لیے، پھر اس میں سیکیورٹی کے لیے ذمہ دار مربع تلاش کرنا ناممکن ہے۔ لینکس سیکیورٹی سب سسٹم کہاں چھپا ہوا ہے اور اس میں کیا شامل ہے؟
لینکس سیکورٹی ماڈیولز اور SELinux پر پس منظر
سیکورٹی اینہانسڈ لینکس اصولوں اور رسائی کے طریقہ کار کا ایک مجموعہ ہے جو لینکس سسٹم کو ممکنہ خطرات سے بچانے کے لیے لازمی اور رول پر مبنی رسائی کے ماڈلز پر مبنی ہے اور یونکس کے روایتی سیکیورٹی سسٹم ڈسکریشنری ایکسیس کنٹرول (DAC) کی خامیوں کو درست کرتا ہے۔ اس منصوبے کی ابتدا امریکی نیشنل سیکیورٹی ایجنسی کی آنتوں میں ہوئی، اور اسے براہ راست بنیادی طور پر ٹھیکیداروں Secure Computing Corporation اور MITER کے ساتھ ساتھ متعدد تحقیقی لیبارٹریوں نے تیار کیا۔
لینکس سیکیورٹی ماڈیولز
Linus Torvalds نے NSA کی نئی پیشرفت کے بارے میں متعدد تبصرے کیے تاکہ انہیں مین لائن لینکس کرنل میں شامل کیا جا سکے۔ اس نے ایک عمومی ماحول بیان کیا، جس میں اشیاء کے ساتھ آپریشنز کو کنٹرول کرنے کے لیے انٹرسیپٹرز کا ایک سیٹ اور متعلقہ صفات کو ذخیرہ کرنے کے لیے کرنل ڈیٹا ڈھانچے میں مخصوص حفاظتی فیلڈز کا ایک سیٹ۔ اس ماحول کو پھر قابل لوڈ کرنل ماڈیولز کے ذریعے کسی بھی مطلوبہ حفاظتی ماڈل کو نافذ کرنے کے لیے استعمال کیا جا سکتا ہے۔ LSM مکمل طور پر 2.6 میں لینکس کرنل v2003 میں داخل ہوا۔
LSM فریم ورک میں ڈیٹا سٹرکچرز میں گارڈ فیلڈز اور کرنل کوڈ میں اہم پوائنٹس پر انٹرسیپشن فنکشنز کو کالز شامل ہیں تاکہ ان میں ہیرا پھیری اور رسائی کنٹرول کو انجام دیا جا سکے۔ یہ سیکیورٹی ماڈیولز کو رجسٹر کرنے کے لیے فعالیت بھی شامل کرتا ہے۔ /sys/kernel/security/lsm انٹرفیس سسٹم پر فعال ماڈیولز کی فہرست پر مشتمل ہے۔ LSM ہکس ان فہرستوں میں محفوظ ہیں جنہیں CONFIG_LSM میں بیان کردہ ترتیب میں بلایا جاتا ہے۔ ہکس پر تفصیلی دستاویزات ہیڈر فائل میں شامل ہیں include/linux/lsm_hooks.h.
LSM سب سسٹم نے SELinux کے مکمل انضمام کو مستحکم لینکس کرنل v2.6 کے اسی ورژن کے ساتھ مکمل کرنا ممکن بنایا۔ تقریباً فوراً ہی، SELinux ایک محفوظ لینکس ماحول کے لیے اصل معیار بن گیا اور اسے سب سے زیادہ مقبول تقسیموں میں شامل کیا گیا: RedHat Enterprise Linux، Fedora، Debian، Ubuntu۔
SELinux لغت
- شناخت - SELinux صارف عام یونکس/Linux صارف id جیسا نہیں ہے؛ وہ ایک ہی سسٹم پر ایک ساتھ رہ سکتے ہیں، لیکن جوہر میں بالکل مختلف ہیں۔ ہر معیاری لینکس اکاؤنٹ SELinux میں ایک یا زیادہ سے مطابقت رکھتا ہے۔ SELinux شناخت مجموعی سیکورٹی سیاق و سباق کا حصہ ہے، جو اس بات کا تعین کرتی ہے کہ آپ کن ڈومینز میں شامل ہو سکتے ہیں اور کون سے نہیں۔
- ڈومینز - SELinux میں، ایک ڈومین ایک موضوع کے عمل کا سیاق و سباق ہے، یعنی ایک عمل۔ ڈومین براہ راست اس رسائی کا تعین کرتا ہے جو کسی عمل کو حاصل ہے۔ ایک ڈومین بنیادی طور پر ایک فہرست ہے جو عمل کر سکتے ہیں یا ایک عمل مختلف اقسام کے ساتھ کیا کر سکتا ہے۔ ڈومینز کی کچھ مثالیں سسٹم ایڈمنسٹریشن کے لیے sysadm_t ہیں، اور user_t جو کہ ایک عام غیر مراعات یافتہ صارف ڈومین ہے۔ init سسٹم init_t ڈومین میں چلتا ہے، اور نامزد عمل name_t ڈومین میں چلتا ہے۔
- کردار - جو ڈومینز اور SELinux صارفین کے درمیان ایک ثالث کے طور پر کام کرتا ہے۔ کردار اس بات کا تعین کرتے ہیں کہ صارف کن ڈومینز سے تعلق رکھتا ہے اور وہ کس قسم کی اشیاء تک رسائی حاصل کر سکتا ہے۔ رسائی پر قابو پانے کا یہ طریقہ کار استحقاق میں اضافے کے حملوں کے خطرے کو روکتا ہے۔ SELinux میں استعمال ہونے والے رول بیسڈ ایکسیس کنٹرول (RBAC) سیکورٹی ماڈل میں رولز لکھے جاتے ہیں۔
- اقسام - ایک قسم کے نفاذ کی فہرست کا وصف جو کسی چیز کو تفویض کیا جاتا ہے اور اس بات کا تعین کرتا ہے کہ کون اس تک رسائی حاصل کرسکتا ہے۔ ڈومین کی تعریف کی طرح، سوائے اس کے کہ ڈومین کسی عمل پر لاگو ہوتا ہے، اور قسم کا اطلاق اشیاء جیسے ڈائریکٹریز، فائلز، ساکٹ وغیرہ پر ہوتا ہے۔
- مضامین اور اشیاء - عمل مضامین ہیں اور ایک مخصوص سیاق و سباق یا سیکیورٹی ڈومین میں چلتے ہیں۔ آپریٹنگ سسٹم کے وسائل: فائلیں، ڈائریکٹریز، ساکٹ وغیرہ، ایسی اشیاء ہیں جنہیں ایک خاص قسم تفویض کی گئی ہے، دوسرے لفظوں میں، رازداری کی سطح۔
- SELinux پالیسیاں - SELinux نظام کی حفاظت کے لیے متعدد پالیسیاں استعمال کرتا ہے۔ SELinux پالیسی صارفین کی رولز تک رسائی، ڈومینز کے رولز اور ڈومینز کی اقسام تک رسائی کی وضاحت کرتی ہے۔ سب سے پہلے، صارف کو ایک کردار حاصل کرنے کا اختیار ہے، پھر کردار کو ڈومینز تک رسائی حاصل کرنے کا اختیار دیا جاتا ہے۔ آخر میں، ایک ڈومین کو صرف مخصوص قسم کی اشیاء تک رسائی حاصل ہو سکتی ہے۔
LSM اور SELinux فن تعمیر
نام کے باوجود، LSMs عام طور پر قابل لوڈ لینکس ماڈیول نہیں ہوتے ہیں۔ تاہم، SELinux کی طرح، یہ براہ راست کرنل میں ضم ہوتا ہے۔ LSM سورس کوڈ میں کسی بھی تبدیلی کے لیے نئے دانا کی تالیف کی ضرورت ہوتی ہے۔ متعلقہ آپشن کو کرنل سیٹنگز میں فعال کرنا ضروری ہے، ورنہ ایل ایس ایم کوڈ بوٹ کے بعد ایکٹیویٹ نہیں ہوگا۔ لیکن اس صورت میں بھی، اسے OS بوٹ لوڈر آپشن کے ذریعے فعال کیا جا سکتا ہے۔
LSM چیک اسٹیک
LSM کور کرنل فنکشنز میں ہکس سے لیس ہے جو چیک کے لیے متعلقہ ہو سکتے ہیں۔ LSMs کی ایک اہم خصوصیت یہ ہے کہ وہ اسٹیک ہوتے ہیں۔ اس طرح، معیاری جانچیں اب بھی انجام دی جاتی ہیں، اور LSM کی ہر پرت میں صرف اضافی کنٹرول اور کنٹرول شامل ہوتے ہیں۔ اس کا مطلب ہے کہ پابندی کو واپس نہیں لیا جا سکتا۔ یہ اعداد و شمار میں دکھایا گیا ہے؛ اگر معمول کے DAC چیکوں کا نتیجہ ناکام ہوتا ہے، تو معاملہ LSM ہکس تک بھی نہیں پہنچے گا۔
SELinux فلوک ریسرچ آپریٹنگ سسٹم کے فلاسک سیکیورٹی فن تعمیر کو اپناتا ہے، خاص طور پر کم از کم استحقاق کا اصول۔ اس تصور کا جوہر، جیسا کہ اس کے نام سے پتہ چلتا ہے، صارف کو صرف وہی حقوق دینا یا اس پر کارروائی کرنا ہے جو مطلوبہ اعمال کو انجام دینے کے لیے ضروری ہیں۔ یہ اصول جبری رسائی کی ٹائپنگ کا استعمال کرتے ہوئے لاگو کیا جاتا ہے، اس طرح SELinux میں رسائی کا کنٹرول ڈومین => ٹائپ ماڈل پر مبنی ہے۔
جبری رسائی کی ٹائپنگ کی بدولت، SELinux میں یونکس/Linux آپریٹنگ سسٹمز میں استعمال ہونے والے روایتی DAC ماڈل سے کہیں زیادہ رسائی کنٹرول کی صلاحیتیں ہیں۔ مثال کے طور پر، آپ نیٹ ورک پورٹ نمبر کو محدود کر سکتے ہیں جس سے ایف ٹی پی سرور منسلک کرے گا، کسی خاص فولڈر میں فائلوں کو لکھنے اور تبدیل کرنے کی اجازت دے سکتا ہے، لیکن انہیں حذف نہیں کر سکتا۔
SELinux کے اہم اجزاء ہیں:
- پالیسی انفورسمنٹ سرور - رسائی کنٹرول کو منظم کرنے کا بنیادی طریقہ کار۔
- سسٹم سیکیورٹی پالیسی ڈیٹا بیس۔
- LSM ایونٹ انٹرسیپٹر کے ساتھ تعامل۔
- Selinuxfs - Pseudo-FS، جیسا کہ /proc اور /sys/fs/selinux میں نصب ہے۔ رن ٹائم کے وقت لینکس کرنل کے ذریعہ متحرک طور پر آباد ہوتا ہے اور SELinux اسٹیٹس کی معلومات پر مشتمل فائلوں پر مشتمل ہوتا ہے۔
- ویکٹر کیشے تک رسائی حاصل کریں۔ - پیداواری صلاحیت بڑھانے کے لیے ایک معاون طریقہ کار۔
SELinux کیسے کام کرتا ہے۔
یہ سب اس طرح کام کرتا ہے۔
- ایک مخصوص مضمون، SELinux کی شرائط میں، DAC چیک کے بعد کسی چیز پر اجازت یافتہ کارروائی کرتا ہے، جیسا کہ اوپر والی تصویر میں دکھایا گیا ہے۔ آپریشن کرنے کی یہ درخواست LSM ایونٹ انٹرسیپٹر کو جاتی ہے۔
- وہاں سے، درخواست، موضوع اور آبجیکٹ سیکورٹی سیاق و سباق کے ساتھ، SELinux Abstraction اور Hook Logic ماڈیول کو بھیجی جاتی ہے، جو LSM کے ساتھ تعامل کے لیے ذمہ دار ہے۔
- کسی چیز تک کسی موضوع کی رسائی کے بارے میں فیصلہ سازی کا اختیار پالیسی انفورسمنٹ سرور ہے اور یہ SELinux AnHL سے ڈیٹا وصول کرتا ہے۔
- رسائی یا انکار کے بارے میں فیصلے کرنے کے لیے، پالیسی انفورسمنٹ سرور سب سے زیادہ استعمال شدہ قواعد کے لیے ایکسیس ویکٹر کیش (AVC) کیشنگ سب سسٹم کی طرف رجوع کرتا ہے۔
- اگر متعلقہ قاعدہ کا حل کیشے میں نہیں ملتا ہے، تو درخواست سیکیورٹی پالیسی ڈیٹا بیس کو بھیج دی جاتی ہے۔
- ڈیٹا بیس اور AVC سے تلاش کا نتیجہ پالیسی انفورسمنٹ سرور کو واپس کر دیا جاتا ہے۔
- اگر پائی گئی پالیسی درخواست کردہ کارروائی سے میل کھاتی ہے، تو آپریشن کی اجازت ہے۔ دوسری صورت میں، آپریشن ممنوع ہے.
SELinux کی ترتیبات کا نظم کرنا
SELinux تین طریقوں میں سے ایک میں کام کرتا ہے:
- نافذ کرنا - حفاظتی پالیسیوں پر سختی سے عمل کرنا۔
- اجازت دینے والا - پابندیوں کی خلاف ورزی کی اجازت ہے؛ جریدے میں ایک متعلقہ نوٹ بنایا گیا ہے۔
- غیر فعال—سیکیورٹی پالیسیاں نافذ العمل نہیں ہیں۔
آپ مندرجہ ذیل کمانڈ سے دیکھ سکتے ہیں کہ SELinux کس موڈ میں ہے۔
[admin@server ~]$ getenforce
Permissiveریبوٹ کرنے سے پہلے موڈ کو تبدیل کرنا، مثال کے طور پر، اسے نافذ کرنے پر سیٹ کرنا، یا 1۔ اجازت دینے والا پیرامیٹر عددی کوڈ 0 سے مطابقت رکھتا ہے۔
[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #то же самое
آپ فائل میں ترمیم کر کے موڈ کو بھی تبدیل کر سکتے ہیں:
[admin@server ~]$ cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=ٹارگٹ
setenfoce کے ساتھ فرق یہ ہے کہ جب آپریٹنگ سسٹم بوٹ ہوتا ہے، SELinux موڈ کو کنفیگریشن فائل میں SELINUX پیرامیٹر کی قدر کے مطابق سیٹ کیا جائے گا۔ اس کے علاوہ، <=> کو غیر فعال کرنے میں تبدیلیاں صرف /etc/selinux/config فائل میں ترمیم کرکے اور دوبارہ شروع کرنے کے بعد اثر انداز ہوتی ہیں۔
ایک مختصر اسٹیٹس رپورٹ دیکھیں:
[admin@server ~]$ sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux اوصاف کو دیکھنے کے لیے، کچھ معیاری افادیتیں -Z پیرامیٹر استعمال کرتی ہیں۔
[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL PID TTY TIME CMD
system_u:system_r:httpd_t:s0 2914 ? 00:00:04 httpd
system_u:system_r:httpd_t:s0 2915 ? 00:00:00 httpd
system_u:system_r:httpd_t:s0 2916 ? 00:00:00 httpd
system_u:system_r:httpd_t:s0 2917 ? 00:00:00 httpd
...
system_u:system_r:httpd_t:s0 2918 ? 00:00:00 httpdls -l کے عام آؤٹ پٹ کے مقابلے میں، درج ذیل فارمیٹ میں کئی اضافی فیلڈز ہیں:
<user>:<role>:<type>:<level>
آخری فیلڈ سیکیورٹی کی درجہ بندی کی طرح کچھ ظاہر کرتا ہے اور دو عناصر کے امتزاج پر مشتمل ہے:
- s0 - اہمیت، نچلی سطح-اعلی سطح کے وقفہ کے طور پر بھی لکھا جاتا ہے۔
- c0, c1… c1023 - زمرہ۔
رسائی کی ترتیب کو تبدیل کرنا
SELinux ماڈیول لوڈ کرنے، شامل کرنے اور ہٹانے کے لیے سیمڈیول کا استعمال کریں۔
[admin@server ~]$ semodule -l |wc -l #список всех модулей
408
[admin@server ~]$ semodule -e abrt #enable - активировать модуль
[admin@server ~]$ semodule -d accountsd #disable - отключить модуль
[admin@server ~]$ semodule -r avahi #remove - удалить модульپہلی ٹیم semanage لاگ ان SELinux صارف کو آپریٹنگ سسٹم کے صارف سے جوڑتا ہے، دوسرا فہرست دکھاتا ہے۔ آخر میں، -r سوئچ کے ساتھ آخری کمانڈ SELinux صارفین کی OS اکاؤنٹس کی میپنگ کو ہٹا دیتی ہے۔ MLS/MCS رینج کی اقدار کے لیے نحو کی وضاحت پچھلے حصے میں ہے۔
[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol
ٹیم semanage صارف SELinux صارفین اور کرداروں کے درمیان میپنگ کا انتظام کرنے کے لیے استعمال کیا جاتا ہے۔
[admin@server ~]$ semanage user -l
Labeling MLS/ MLS/
SELinux User Prefix MCS Level MCS Range SELinux Roles
guest_u user s0 s0 guest_r
staff_u staff s0 s0-s0:c0.c1023 staff_r sysadm_r
...
user_u user s0 s0 user_r
xguest_u user s0 s0 xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_uکمانڈ پیرامیٹرز:
- -ایک حسب ضرورت رول میپنگ اندراج شامل کریں۔
- -l مماثل صارفین اور کرداروں کی فہرست؛
- -d صارف کے کردار کی نقشہ سازی کے اندراج کو حذف کریں۔
- - صارف کے ساتھ منسلک کرداروں کی فہرست؛
فائلیں، پورٹس اور بولین ویلیوز
ہر SELinux ماڈیول فائل ٹیگنگ کے قوانین کا ایک سیٹ فراہم کرتا ہے، لیکن اگر ضروری ہو تو آپ اپنے قوانین بھی شامل کر سکتے ہیں۔ مثال کے طور پر، ہم چاہتے ہیں کہ ویب سرور کو /srv/www فولڈر تک رسائی کے حقوق حاصل ہوں۔
[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/پہلی کمانڈ مارکنگ کے نئے قوانین کو رجسٹر کرتی ہے، اور دوسری ری سیٹ کرتی ہے، یا اس کے بجائے موجودہ قوانین کے مطابق فائل کی اقسام کو سیٹ کرتی ہے۔
اسی طرح، TCP/UDP بندرگاہوں کو اس طرح نشان زد کیا گیا ہے کہ صرف مناسب خدمات ہی ان پر سن سکتی ہیں۔ مثال کے طور پر، ویب سرور کو پورٹ 8080 پر سننے کے لیے، آپ کو کمانڈ چلانے کی ضرورت ہے۔
[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080SELinux ماڈیولز کی ایک قابل ذکر تعداد میں ایسے پیرامیٹرز ہوتے ہیں جو بولین اقدار کو لے سکتے ہیں۔ اس طرح کے پیرامیٹرز کی پوری فہرست getsebool -a کا استعمال کرتے ہوئے دیکھی جا سکتی ہے۔ آپ سیٹسبول کا استعمال کرتے ہوئے بولین اقدار کو تبدیل کرسکتے ہیں۔
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off
ورکشاپ، Pgadmin-web انٹرفیس تک رسائی حاصل کریں۔
آئیے ایک عملی مثال دیکھیں: ہم نے پوسٹگری ایس کیو ایل ڈیٹابیس کا انتظام کرنے کے لیے RHEL 7.6 پر pgadmin4-web انسٹال کیا۔ ہم تھوڑا سا چل پڑے pg_hba.conf، postgresql.conf اور config_local.py کی سیٹنگز کے ساتھ، فولڈر کی اجازتیں سیٹ کریں، pip سے گمشدہ Python ماڈیول انسٹال کریں۔ سب کچھ تیار ہے، ہم لانچ اور وصول کرتے ہیں۔ 500 اندرونی سرور کی خرابی.
ہم عام مشتبہ افراد سے شروع کرتے ہیں، چیک کرتے ہوئے /var/log/httpd/error_log۔ وہاں کچھ دلچسپ اندراجات ہیں۔
[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690]
[timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.
اس وقت، زیادہ تر لینکس ایڈمنسٹریٹرز setencorce 0 چلانے کے لیے سخت آزمائش میں ہوں گے، اور یہ اس کا خاتمہ ہوگا۔ سچ کہوں تو میں نے پہلی بار ایسا ہی کیا۔ یقیناً یہ بھی ایک راستہ ہے، لیکن بہترین سے بہت دور ہے۔
بوجھل ڈیزائن کے باوجود، SELinux صارف دوست ہو سکتا ہے۔ بس سیٹروبل شوٹ پیکج انسٹال کریں اور سسٹم لاگ دیکھیں۔
[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd
براہ کرم نوٹ کریں کہ OS میں systemd کی موجودگی کے باوجود، auditd سروس کو اس طرح دوبارہ شروع کرنا چاہیے، اور systemctl کا استعمال نہیں کرنا چاہیے۔ سسٹم لاگ میں اشارہ کیا جائے گا نہ صرف مسدود کرنے کی حقیقت بلکہ وجہ بھی پابندی پر قابو پانے کا طریقہ.
ہم ان احکامات پر عمل کرتے ہیں:
[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1
ہم pgadmin4-web ویب صفحہ تک رسائی چیک کرتے ہیں، سب کچھ کام کرتا ہے۔
ماخذ: www.habr.com