13.7. fapolicyd RHEL 시스템 역할을 사용하여 알 수 없는 코드 실행으로부터 보호 구성
fapolicyd 시스템 역할을 사용하여 Ansible 플레이북을 실행하여 알 수 없는 코드를 실행할 수 있습니다.
사전 요구 사항
- 컨트롤 노드 및 관리형 노드를 준비했습니다.
- 관리 노드에서 플레이북을 실행할 수 있는 사용자로 제어 노드에 로그인되어 있습니다.
-
관리 노드에 연결하는 데 사용하는 계정에는
sudo권한이 있습니다.
절차
다음 콘텐츠를 사용하여 플레이북 파일(예:
~/playbook.yml)을 생성합니다.--- - name: Preventing execution of unknown code hosts: all vars: fapolicyd_setup_integrity: sha256 fapolicyd_setup_trust: rpmdb,file fapolicyd_add_trusted_file: - </usr/bin/my-ls> - </opt/third-party/app1> - </opt/third-party/app2> roles: - rhel-system-roles.fapolicydlinux-system-roles.fapolicydRHEL 시스템 역할의 다음 변수를 사용하여 보호를 추가로 사용자 지정할 수 있습니다.fapolicyd_setup_integrity-
다음 유형의 무결성 중 하나를 설정할 수 있습니다.
none,sha256,size. fapolicyd_setup_trust-
신뢰 파일 유형
파일,rpmd및deb를 설정할 수 있습니다. fapolicyd_add_trusted_file-
신뢰할 수 있는 실행 가능한 파일을 나열할 수 있으며
fapolicyd가 실행되지 않도록 할 수 있습니다.
플레이북 구문을 확인합니다.
# ansible-playbook ~/playbook.yml --syntax-check이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.
플레이북을 실행합니다.
# ansible-playbook ~/playbook.yml
추가 리소스
-
/usr/share/ansible/roles/rhel-system-roles.fapolicyd/README.md파일
