12장. fapolicyd를 사용하여 애플리케이션 차단 및 허용

fapolicyd 소프트웨어 프레임워크는 사용자 정의 정책을 기반으로 애플리케이션 실행을 제어합니다. 이는 시스템에서 신뢰할 수 없고 잠재적으로 악성 애플리케이션을 실행하는 것을 방지하는 가장 효율적인 방법 중 하나입니다.

fapolicyd 프레임워크는 다음 구성 요소를 제공합니다.

관리자는 경로, 해시, MIME 유형 또는 신뢰에 따라 감사의 가능성을 사용하여 모든 애플리케이션에 대해 허용 및 거부 실행 규칙을 정의할 수 있습니다.

fapolicyd 프레임워크는 신뢰 개념을 소개합니다. 애플리케이션은 시스템 패키지 관리자가 적절하게 설치할 때 신뢰할 수 있으므로 시스템 RPM 데이터베이스에 등록됩니다. fapolicyd 데몬은 RPM 데이터베이스를 신뢰할 수 있는 바이너리 및 스크립트 목록으로 사용합니다. fapolicyd RPM 플러그인은 YUM 패키지 관리자 또는 RPM 패키지 관리자에서 처리하는 시스템 업데이트를 등록합니다. 플러그인은 이 데이터베이스의 변경 사항에 대해 fapolicyd 데몬에 알립니다. 애플리케이션을 추가하는 다른 방법으로는 사용자 지정 규칙을 생성하고 fapolicyd 서비스를 다시 시작해야 합니다.

fapolicyd 서비스 구성은 다음 구조의 /etc/fapolicyd/ 디렉터리에 있습니다.

/etc/fapolicyd/rules.d/ 의 규칙은 여러 파일로 구성되며 각각 다른 정책 목표를 나타냅니다. 해당 파일 이름의 시작 부분에 있는 숫자는 /etc/fapolicyd/ECDHE.rules에서 순서를 결정합니다.

fapolicyd 무결성 검사를 위해 다음 방법 중 하나를 사용할 수 있습니다.

기본적으로 fapolicyd 는 무결성 검사를 수행하지 않습니다. 파일 크기에 따른 무결성 검사는 빠르지만 공격자는 파일의 내용을 교체하고 바이트 크기를 유지할 수 있습니다. SHA-256 체크섬을 계산하고 확인하는 것은 더 안전하지만 시스템의 성능에 영향을 미칩니다. fapolicyd.conf 의 integrity = ima 옵션은 실행 파일이 포함된 모든 파일 시스템에서 파일 확장 속성( xattr라고도 함)을 지원해야 합니다.