第25章 RHEL システムロールを使用したファイルアクセスの保護
fapolicyd
システムロールを使用すると、Red Hat Ansible Automation Platform を使用して、RHEL 上での不明なコードが実行しないようにすることができます。
25.1. fapolicyd
RHEL システムロールを使用して未知のコード実行に対する保護を設定
fapolicyd
システムロールを使用すると、Ansible Playbook を実行して不明なコードの実行を防ぐことができます。
前提条件
- コントロールノードと管理対象ノードを準備している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo
権限がある。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml
) を作成します。--- - name: Preventing execution of unknown code hosts: all vars: fapolicyd_setup_integrity: sha256 fapolicyd_setup_trust: rpmdb,file fapolicyd_add_trusted_file: - </usr/bin/my-ls> - </opt/third-party/app1> - </opt/third-party/app2> roles: - rhel-system-roles.fapolicyd
linux-system-roles.fapolicyd
RHEL システムロールの次の変数を使用すると、保護をさらにカスタマイズできます。fapolicyd_setup_integrity
-
整合性のタイプとして、
none
、sha256
、size
のいずれかを設定できます。 fapolicyd_setup_trust
-
信頼ファイルのタイプ
file
、rpmd
、deb
を設定できます。 fapolicyd_add_trusted_file
-
信頼できる実行可能ファイル、および
fapolicyd
によって実行を防止しない実行可能ファイルのリストを指定できます。
Playbook の構文を検証します。
# ansible-playbook ~/playbook.yml --syntax-check
このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
# ansible-playbook ~/playbook.yml
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.fapolicyd/README.md
ファイル