우리 회사 컴퓨터에 애플리케이션을 설치하는 컨설턴트가 있습니다. 최근에 서버를 RHEL 8로 업그레이드했으며 fapolicyd를 사용하기 위한 특정 STIG 규정 준수 요구 사항이 있습니다.
fapolicyd에 의해 차단되었기 때문에 새 애플리케이션을 실행할 수 없습니다.
실행할 수 있도록 규칙을 만들려고 합니다. 나는 다음 형식을 시도했습니다.
allow perm=execute dir=/home/<app_name>/
allow perm=execute dir=/home/<app_name>/ : all
allow perm=execute dir=/home/<app_name>/ dir=/opt/<app_name_variant_versionNumber>/ dir=/opt/<app_name>/ : all
allow perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
allow_audit perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
매뉴얼 페이지에서 수집한 내용에 따르면 exe=에는 실제 실행 파일의 전체 경로가 있어야 하며 dir에는 사용할 수 있는 몇 가지 키워드가 있습니다.
제 생각에는 dir을 키워드와 함께 사용하는 것이 해결책이라고 생각하지만 이러한 키워드를 적용하는 방법에 대한 예는 어디서도 찾지 못했습니다.
fapolicyd의 규칙의 모든 기능과 키워드가 어떻게 작동하는지 보여주는 예가 있는 사람이 있습니까?
시도하기 전에 디버깅 시도를 통해 수집한 내용은 다음과 같습니다.
rule=11 dec=deny_audit perm=open auid=-1 pid=702173
exe=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.392.b08-4.el8.x86_64/jre/bin/java
: path=/opt/<app_name_variant_versionNumber>/lib/launcher/groovy-3.0.7-indy.jar
ftype=application/java-archive trust=0
제가 차단을 잘못 이해한 걸까요? 내 애플리케이션에 대한 Java 액세스에 대한 규칙을 만들어야 합니까?