12.7. fapolicyd RHEL 시스템 역할을 사용하여 사용자가 신뢰할 수 없는 코드를 실행하지 못하도록 방지

절차

1. 다음 콘텐츠를 사용하여 플레이북 파일(예: ~/playbook.yml )을 생성합니다.

   ---
   - name: Configuring fapolicyd
     hosts: managed-node-01.example.com
     tasks:
       - name: Allow only executables installed from RPM database and specific files
         ansible.builtin.include_role:
           name: rhel-system-roles.fapolicyd
         vars:
           fapolicyd_setup_permissive: false
           fapolicyd_setup_integrity: sha256
           fapolicyd_setup_trust: rpmdb,file
           fapolicyd_add_trusted_file:
             - <path_to_allowed_command>
             - <path_to_allowed_service>

   예제 플레이북에 지정된 설정은 다음과 같습니다.

   fapolicyd_setup_permissive: <true|false>

   적용을 위해 커널에 정책 결정 전송을 활성화하거나 비활성화합니다. 디버깅 및 테스트 목적으로 이 변수를 false 로 설정합니다.

   fapolicyd_setup_integrity: <type_type>

   무결성 검사 방법을 정의합니다. 다음 값 중 하나를 설정할 수 있습니다.

   • none (기본값): 무결성 검사를 비활성화합니다.
   • 크기: 서비스는 허용된 애플리케이션의 파일 크기만 비교합니다.
   • i MA: 서비스는 SHA-256 해시에서 파일의 확장된 속성에 저장된 커널의 무결성 측정 아키텍처(IMA)를 확인합니다. 또한 서비스는 크기 검사를 수행합니다. 역할은 IMA 커널 하위 시스템을 구성하지 않습니다. 이 옵션을 사용하려면 IMA 하위 시스템을 수동으로 구성해야 합니다.
   • sha256: 서비스는 허용된 애플리케이션의 SHA-256 해시를 비교합니다.

   fapolicyd_setup_trust: <trust_backends>

   신뢰 백엔드 목록을 정의합니다. 파일 백엔드를 포함하는 경우 fapolicyd_add_trusted_file 목록에 허용되는 실행 파일을 지정합니다.

   플레이북에 사용되는 모든 변수에 대한 자세한 내용은 제어 노드의 /usr/share/ansible/roles/rhel-system-roles.fapolicyd.README.md 파일을 참조하십시오.

2. 플레이북 구문을 확인합니다.

   $ ansible-playbook ~/playbook.yml --syntax-check

   이 명령은 구문만 검증하고 잘못되었지만 유효한 구성으로부터 보호하지 않습니다.

3. Playbook을 실행합니다.

   $ ansible-playbook ~/playbook.yml