Red Hat Training

A Red Hat training course is available for RHEL 8

13.3. 추가 신뢰 소스를 사용하여 파일을 신뢰할 수 있음으로 표시

fapolicyd 프레임워크는 RPM 데이터베이스에 포함된 파일을 신뢰합니다. /etc/fapolicyd/fapolicyd.trust plain-text 파일 또는 신뢰할 수 있는 파일 목록을 더 많은 파일로 분리하는 /etc/fapolicyd/trust.d/ 디렉터리에 해당 항목을 추가하여 추가 파일을 신뢰할 수 있습니다. 텍스트 편집기 또는 fapolicyd-cli 명령을 사용하여 직접 /etc/fapolicyd/trust.dfapolicyd.trust 또는 파일을 수정할 수 있습니다.

참고

fapolicyd.trust 또는 trust.d/ 를 사용하여 파일을 신뢰할 수 있는 것으로 표시하는 것이 성능상의 이유로 사용자 정의 fapolicyd 규칙을 작성하는 것보다 더 좋습니다.

사전 요구 사항

  • fapolicyd 프레임워크는 시스템에 배포됩니다.

절차

  1. 사용자 지정 바이너리를 필수 디렉터리에 복사합니다. 예를 들면 다음과 같습니다. 

    $ cp /bin/ls /tmp
$ /tmp/ls
bash: /tmp/ls: Operation not permitted

  2. 사용자 정의 바이너리를 신뢰할 수 있음으로 표시하고 해당 항목을 /etc/fapolicyd/trust.d/myapp 파일에 저장합니다. 

    # fapolicyd-cli --file add /tmp/ls --trust-file myapp
    • --trust-file 옵션을 건너뛰면 이전 명령은 해당 행을 /etc/fapolicyd/fapolicyd.trust 에 추가합니다.
    • 디렉토리의 기존 파일을 신뢰할 수 있음으로 표시하려면 디렉터리 경로를 --file 옵션의 인수로 제공합니다(예: fapolicyd-cli --file add /tmp/my_bin_dir/ --trust-file myapp ).

  3. fapolicyd 데이터베이스를 업데이트합니다. 

    # fapolicyd-cli --update
참고

신뢰할 수 있는 파일 또는 디렉터리의 내용을 변경하면 체크섬이 변경되어 fapolicyd 에서 더 이상 신뢰할 수 있는 것으로 간주하지 않습니다.

새 콘텐츠를 다시 신뢰할 수 있도록 fapolicyd-cli --file update 명령을 사용하여 파일 신뢰 데이터베이스를 새로 고칩니다. 인수를 제공하지 않으면 전체 데이터베이스가 새로 고쳐집니다. 또는 특정 파일 또는 디렉터리의 경로를 지정할 수 있습니다. 다음으로 fapolicyd-cli --update 를 사용하여 데이터베이스를 업데이트합니다.

검증

  1. 사용자 정의 바이너리를 실행할 수 있는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ /tmp/ls
ls

추가 리소스

  • fapolicyd.trustgradle 매뉴얼 페이지.