搜索

13.7. 使用 fapolicyd RHEL 系统角色配置防止未知代码的执行

download PDF

您可以通过运行 Ansible playbook,使用 fapolicyd 系统角色来防止未知代码的执行。

先决条件

流程

  1. 创建一个包含以下内容的 playbook 文件,如 ~/playbook.yml

    ---
    - name: Preventing execution of unknown code
      hosts: all
      vars:
        fapolicyd_setup_integrity: sha256
        fapolicyd_setup_trust: rpmdb,file
        fapolicyd_add_trusted_file:
          - </usr/bin/my-ls>
          - </opt/third-party/app1>
          - </opt/third-party/app2>
      roles:
        - rhel-system-roles.fapolicyd

    您可以使用 linux-system-roles.fapolicyd RHEL 系统角色的以下变量来进一步自定义保护:

    fapolicyd_setup_integrity
    您可以设置以下一种完整性类型:nonesha256size
    fapolicyd_setup_trust
    您可以设置信任文件类型 filerpmddeb
    fapolicyd_add_trusted_file
    您可以列出信任且 fapolicyd 不会阻止其执行的可执行文件。
  2. 验证 playbook 语法:

    # ansible-playbook ~/playbook.yml --syntax-check

    请注意,这个命令只验证语法,不会防止错误但有效的配置。

  3. 运行 playbook:

    # ansible-playbook ~/playbook.yml

其他资源

  • /usr/share/ansible/roles/rhel-system-roles.fapolicyd/README.md 文件
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.