Red Hat Training

A Red Hat training course is available for RHEL 8

13.3. 使用额外的信任源将文件标记为可信

您可以使用这个步骤为 fapolicyd 使用额外的信任源。在 RHEL 8.3 之前,fapolicyd 只信任 RPM 数据库中包含的文件。fapolicyd 框架现在也支持使用 /etc/fapolicyd/fapolicyd.trust 纯文本文件作为信任源。您可以使用文本编辑器直接或通过 fapolicyd CLI 命令修改 fapolicyd.trust

注意

更喜欢使用 fapolicyd.trust 将文件标记为可信,而不是编写自定义 fapolicyd 规则。

先决条件

  • fapolicyd 框架部署在您的系统上。

流程

  1. 将自定义二进制文件复制到所需目录中,例如:

    $ cp /bin/ls /tmp
    $ /tmp/ls
    bash: /tmp/ls: Operation not permitted
  2. 将您的自定义二进制文件标记为 trusted:

    # fapolicyd-cli --file add /tmp/ls

    请注意,上一命令将对应的行添加到 /etc/fapolicyd/fapolicyd.trust

  3. 更新 fapolicyd 数据库:

    # fapolicyd-cli --update
  4. 重启 fapolicyd

    # systemctl restart fapolicyd

验证

  1. 检查您的自定义二进制文件现在是否可以执行,例如:

    $ /tmp/ls
    ls

其它资源

  • fapolicyd.trust(5) man page.