2.3. 添加自定义 fapolicyd 规则来保护 shell 脚本
默认情况下,fapolicyd
会阻止二进制可执行文件和某些程序(如 Python)被执行。为了保护 SAP HANA 安装目录中的 shell 脚本,您必须添加新的自定义规则。
先决条件
-
fapolicyd
软件包已安装在您的系统中。
流程
-
打开目录
/etc/fapolicyd/rules.d
。 添加一个以 71 开头的文件名(带文件名
71-sap-shellscript.rules
)的新文件,以便规则放置在文件70-trusted-lang.rules
和72-shell.rules
的规则之间,其内容如下:# Deny shell script execution and sourcing under SAP HANA directories deny_audit perm=any all : ftype=text/x-shellscript dir=/hana/,/usr/sap/ trust=0
将文件的所有权设置为
/etc/fapolicyd/rules.d
中其他文件的所有权:# chown root:fapolicyd 71-sap-shellscript.rules
使用以下命令确认定义了新规则,然后载入新规则:
# fagenrules --check /usr/sbin/fagenrules: Rules have changed and should be updated # fagenrules --load
验证
验证规则是否已更新:
# fagenrules --check /usr/sbin/fagenrules: No change