第25章 RHEL システムロールを使用したファイルアクセスの保護
fapolicyd システムロールを使用すると、Red Hat Ansible Automation Platform を使用して、RHEL 上での不明なコードが実行しないようにすることができます。
25.1. fapolicyd RHEL システムロールを使用して未知のコード実行に対する保護を設定
fapolicyd システムロールを使用すると、Ansible Playbook を実行して不明なコードの実行を防ぐことができます。
前提条件
- コントロールノードと管理対象ノードを準備している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo権限がある。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml) を作成します。--- - name: Preventing execution of unknown code hosts: all vars: fapolicyd_setup_integrity: sha256 fapolicyd_setup_trust: rpmdb,file fapolicyd_add_trusted_file: - </usr/bin/my-ls> - </opt/third-party/app1> - </opt/third-party/app2> roles: - rhel-system-roles.fapolicydlinux-system-roles.fapolicydRHEL システムロールの次の変数を使用すると、保護をさらにカスタマイズできます。fapolicyd_setup_integrity-
整合性のタイプとして、
none、sha256、sizeのいずれかを設定できます。 fapolicyd_setup_trust-
信頼ファイルのタイプ
file、rpmd、debを設定できます。 fapolicyd_add_trusted_file-
信頼できる実行可能ファイル、および
fapolicydによって実行を防止しない実行可能ファイルのリストを指定できます。
Playbook の構文を検証します。
# ansible-playbook ~/playbook.yml --syntax-checkこのコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
# ansible-playbook ~/playbook.yml
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.fapolicyd/README.mdファイル
