検索

12.3. 追加の信頼ソースを使用してファイルを信頼できるものとしてマークする

download PDF

fapolicyd フレームワークは、RPM データベースに含まれるファイルを信頼します。対応するエントリーを /etc/fapolicyd/fapolicyd.trust プレーンテキストファイルまたは /etc/fapolicyd/trust.d/ ディレクトリーに追加することにより、追加のファイルを信頼済みとしてマークできます。fapolicyd.trust または /etc/fapolicyd/trust.d 内のファイルは、テキストエディターを直接使用するか、fapolicyd-cli コマンドを使用して変更できます。

注記

fapolicyd.trust または trust.d/ を使用してファイルを信頼済みとしてマークすることは、パフォーマンス上の理由から、カスタムの fapolicyd ルールを記述するよりも優れています。

前提条件

  • fapolicyd フレームワークがシステムにデプロイされます。

手順

  1. カスタムバイナリーを必要なディレクトリーにコピーします。以下に例を示します。

    $ cp /bin/ls /tmp
    $ /tmp/ls
    bash: /tmp/ls: Operation not permitted
  2. カスタムバイナリーを信頼済みとしてマークし、対応するエントリーを /etc/fapolicyd/trust.d/myapp ファイルに保存します。

    # fapolicyd-cli --file add /tmp/ls --trust-file myapp
    • --trust-file オプションをスキップすると、前のコマンドは対応する行を /etc/fapolicyd/fapolicyd.trust に追加します。
    • ディレクトリー内のすべての既存ファイルを信頼済みとしてマークするには、--file オプションの引数としてディレクトリーパスを指定します。たとえば、fapolicyd-cli --file add/tmp/my_bin_dir/--trust-file myapp です。
  3. fapolicyd データベースを更新します。

    # fapolicyd-cli --update
注記

信頼されたファイルまたはディレクトリーの内容を変更すると、それらのチェックサムが変更されるため、fapolicyd はそれらを信頼済みと見なしなくなります。

新しいコンテンツを再び信頼できるようにするには、fapolicyd-cli --file update コマンドを使用してファイル信頼データベースを更新します。引数を何も指定しない場合、データベース全体が更新されます。または、特定のファイルまたはディレクトリーへのパスを指定できます。次に、fapolicyd-cli --update を使用してデータベースを更新します。

検証

  1. たとえば、カスタムバイナリーが実行できることを確認します。

    $ /tmp/ls
    ls

関連情報

  • fapolicyd.trust (13) man ページ。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.