Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.5. 启用 fapolicyd 服务

先决条件

  • fapolicyd 软件包已安装,且当前没有在您的系统中运行。
  • 您已完成了所有前面的步骤。

流程

  • 启用并启动 fapolicyd 服务: 

    # systemctl enable --now fapolicyd

    fapolicyd 服务现在保护 SAP HANA 系统。不在 fapolicyd 信任文件中的 /hana/usr/sap 中的脚本和二进制文件会被阻止,非 root 用户无法执行这些文件。

验证

  1. 验证 fapolicyd 服务是否正在运行: 

    # systemctl status fapolicyd
● fapolicyd.service - File Access Policy Daemon
     Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled)
     Active: active (running) since Thu 2024-03-14 16:38:32 IST; 18h ago
...
Mar 14 16:38:33 host01 fapolicyd[579216]: Trust database checks OK
Mar 14 16:38:33 host01 fapolicyd[579216]: Starting to listen for events

  2. 验证非 root 用户,包括 SAP HANA 管理员用户(例如: h70adm),无法在 /hana/usr/sap 中执行任何新脚本和二进制程序: 

    # cp -pi /usr/bin/date /hana/
# su - h70adm
h70adm@host01:/usr/sap/H70/HDB35> /hana/date
-sh: /hana/date: Operation not permitted
h70adm@host01:/usr/sap/H70/HDB35> cat > try-to-start-me.sh
#!/bin/bash
echo "I will not execute."
<ctrl>d
h70adm@host01:/usr/sap/H70/HDB35> chmod u+x try-to-start-me.sh
h70adm@host01:/usr/sap/H70/HDB35> ./try-to-start-me.sh
-sh: ./try-to-start-me.sh: Operation not permitted
h70adm@host01:/usr/sap/H70/HDB35> rm try-to-start-me.sh
h70adm@host01:/usr/sap/H70/HDB35> exit
# rm /hana/date
rm: remove regular file '/hana/date'? y
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部