第11章 アプリケーションホワイトリストの設定および管理

アプリケーションのホワイトリストは、未知で潜在的に悪意のあるソフトウェアの実行を効率的に防ぎます。

11.1. RHEL でのアプリケーションのホワイトリスト登録

fapolicyd ソフトウェアフレームワークは、ユーザー定義ポリシーに基づいたアプリケーションのホワイトリスト化およびブラックリスト化の形式を導入しました。アプリケーションのホワイトリスト機能では、システム上で信頼されていないアプリケーションや悪意のあるアプリケーションを実行しないようにするための最も効率的な方法を利用できます。

fapolicyd フレームワークは、以下のコンテンツを提供します。

  • fapolicyd サービス
  • fapolicyd コマンドラインユーティリティー
  • fapolicyd YUMプラグイン
  • fapolicyd ルール言語

管理者は、パス、ハッシュ、MIME タイプ、信頼に基づいて、すべてのアプリケーションに実行ルール allow および deny の両方を監査する定義できます。

アプリケーションのホワイトリストには、信頼の概念が導入されています。アプリケーションは、システムパッケージマネージャーによって適切にインストールされると信頼されるため、システムの RPM データベースに登録されます。fapolicyd デーモンは、RPM データベースを信頼できるバイナリーとスクリプトの一覧として使用します。fapolicyd YUM プラグインは、YUM パッケージマネージャーにより処理されるシステム更新をすべて登録します。プラグインは、このデータベースの変更を fapolicyd デーモンに通知します。

rpm ユーティリティーを使用したインストールでは、データベースを手動で更新する必要があり、アプリケーションを追加する他の方法では、カスタムルールを作成し、fapolicyd サービスを再起動する必要があります。

fapolicyd サービス構成は、次の構造を持つ /etc/fapolicyd/ ディレクトリーにあります。

  • fapolicyd.rules ファイルには、実行ルールの allow および deny が含まれています。
  • fapolicyd.mounts ファイルには、監視されているマウントポイントの一覧が含まれています。
  • fapolicyd.conf ファイルには、デーモンの構成オプションが含まれています。このファイルは、主にパフォーマンス調整の目的で役に立ちます。

関連情報

  • 詳細は、man ページの fapolicyd(8)fapolicyd.rules(7)、および fapolicyd.conf(5) を参照してください。