12.3. 추가 신뢰 소스를 사용하여 파일을 신뢰할 수 있음으로 표시
fapolicyd 프레임워크는 RPM 데이터베이스에 포함된 파일을 신뢰합니다. /etc/fapolicyd/fapolicyd.trust plain-text 파일 또는 신뢰할 수 있는 파일 목록을 더 많은 파일로 분리하는 /etc/fapolicyd/trust.d/ 디렉터리에 해당 항목을 추가하여 추가 파일을 신뢰할 수 있습니다. 텍스트 편집기 또는 fapolicyd-cli 명령을 사용하여 직접 /etc/fapolicyd/trust.d 의 fapolicyd.trust 또는 파일을 수정할 수 있습니다.
fapolicyd.trust 또는 trust.d/ 를 사용하여 파일을 신뢰할 수 있는 것으로 표시하는 것이 성능상의 이유로 사용자 정의 fapolicyd 규칙을 작성하는 것보다 더 좋습니다.
사전 요구 사항
-
fapolicyd프레임워크는 시스템에 배포됩니다.
절차
사용자 지정 바이너리를 필수 디렉터리에 복사합니다. 예를 들면 다음과 같습니다.
$ cp /bin/ls /tmp $ /tmp/ls bash: /tmp/ls: Operation not permitted
사용자 정의 바이너리를 신뢰할 수 있음으로 표시하고 해당 항목을
/etc/fapolicyd/trust.d/의myapp파일에 저장합니다.# fapolicyd-cli --file add /tmp/ls --trust-file myapp-
--trust-file옵션을 건너뛰면 이전 명령은 해당 행을/etc/fapolicyd/fapolicyd.trust에 추가합니다. -
디렉토리의 기존 파일을 신뢰할 수 있음으로 표시하려면 디렉터리 경로를
--file옵션의 인수로 제공합니다(예:fapolicyd-cli --file add /tmp/my_bin_dir/ --trust-file myapp).
-
fapolicyd데이터베이스를 업데이트합니다.# fapolicyd-cli --update
신뢰할 수 있는 파일 또는 디렉터리의 내용을 변경하면 체크섬이 변경되어 fapolicyd 에서 더 이상 신뢰할 수 있는 것으로 간주하지 않습니다.
새 콘텐츠를 다시 신뢰할 수 있도록 fapolicyd-cli --file update 명령을 사용하여 파일 신뢰 데이터베이스를 새로 고칩니다. 인수를 제공하지 않으면 전체 데이터베이스가 새로 고쳐집니다. 또는 특정 파일 또는 디렉터리의 경로를 지정할 수 있습니다. 다음으로 fapolicyd-cli --update 를 사용하여 데이터베이스를 업데이트합니다.
검증
사용자 정의 바이너리를 실행할 수 있는지 확인합니다. 예를 들면 다음과 같습니다.
$ /tmp/ls ls
추가 리소스
-
fapolicyd.trust(13)도움말 페이지
