12.3. 추가 신뢰 소스를 사용하여 파일을 신뢰할 수 있는 것으로 표시
fapolicyd
프레임워크는 RPM 데이터베이스에 포함된 파일을 신뢰합니다. /etc/fapolicyd/fapolicyd.trust
plain-text 파일 또는 신뢰할 수 있는 파일 목록을 더 많은 파일로 분리하는 /etc/fapolicyd/trust.d/
디렉터리에 해당 항목을 추가하여 추가 파일을 신뢰할 수 있습니다. 텍스트 편집기 또는 fapolicyd-cli
명령을 사용하여 직접 /etc/fapolicyd/trust.d
의 fapolicyd.trust
또는 파일을 수정할 수 있습니다.
fapolicyd.trust
또는 trust.d/
를 사용하여 파일을 신뢰할 수 있는 것으로 표시하는 것이 성능상의 이유로 사용자 정의 fapolicyd
규칙을 작성하는 것보다 더 좋습니다.
사전 요구 사항
-
fapolicyd
프레임워크가 시스템에 배포됩니다.
절차
사용자 정의 바이너리를 필요한 디렉터리에 복사합니다. 예를 들면 다음과 같습니다.
$ cp /bin/ls /tmp $ /tmp/ls bash: /tmp/ls: Operation not permitted
사용자 정의 바이너리를 신뢰할 수 있음으로 표시하고 해당 항목을
/etc/fapolicyd/trust.d/
의myapp
파일에 저장합니다.# fapolicyd-cli --file add /tmp/ls --trust-file myapp
-
--trust-file
옵션을 건너뛰면 이전 명령은 해당 행을/etc/fapolicyd/fapolicyd.trust
에 추가합니다. -
디렉토리의 기존 파일을 신뢰할 수 있음으로 표시하려면 디렉터리 경로를
--file
옵션의 인수로 제공합니다(예:fapolicyd-cli --file add /tmp/my_bin_dir/ --trust-file myapp
).
-
fapolicyd
데이터베이스를 업데이트합니다.# fapolicyd-cli --update
신뢰할 수 있는 파일 또는 디렉터리의 내용을 변경하면 체크섬이 변경되어 fapolicyd
에서 더 이상 신뢰할 수 있는 것으로 간주하지 않습니다.
새 콘텐츠를 다시 신뢰할 수 있도록 fapolicyd-cli --file update
명령을 사용하여 파일 신뢰 데이터베이스를 새로 고칩니다. 인수를 제공하지 않으면 전체 데이터베이스가 새로 고쳐집니다. 또는 특정 파일 또는 디렉터리의 경로를 지정할 수 있습니다. 다음으로 fapolicyd-cli --update
를 사용하여 데이터베이스를 업데이트합니다.
검증
사용자 정의 바이너리가 이제 실행될 수 있는지 확인합니다. 예를 들면 다음과 같습니다.
$ /tmp/ls ls
추가 리소스
-
fapolicyd.trust(13)
도움말 페이지