私たちの会社のコンピュータにアプリケーションをインストールするコンサルタントがあります。最近サーバーをRHEL 8にアップグレードし、fapolicydを使用するための特定のSTIGコンプライアンス要件があります。
fapolicydによってブロックされたため、新しいアプリケーションを実行できません。
実行できるようにルールを作成しようとしています。私は次の形式を試しました。
allow perm=execute dir=/home/<app_name>/
allow perm=execute dir=/home/<app_name>/ : all
allow perm=execute dir=/home/<app_name>/ dir=/opt/<app_name_variant_versionNumber>/ dir=/opt/<app_name>/ : all
allow perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
allow_audit perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
マニュアルページで収集した内容によれば、exe =には実際の実行可能ファイルへのフルパスが必要であり、dirには使用できるいくつかのキーワードがあります。
私の考えでは、dirをキーワードと一緒に使用することは解決策だと思いますが、これらのキーワードを適用する方法の例はどこにもありませんでした。
fapolicydのルールのすべての機能とキーワードがどのように機能するかを示す例がある人はいますか?
試す前にデバッグ試行で収集した内容は次のとおりです。
rule=11 dec=deny_audit perm=open auid=-1 pid=702173
exe=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.392.b08-4.el8.x86_64/jre/bin/java
: path=/opt/<app_name_variant_versionNumber>/lib/launcher/groovy-3.0.7-indy.jar
ftype=application/java-archive trust=0
私がブロックを間違って理解したのでしょうか? 私のアプリケーションへのJavaアクセスのルールを作成する必要がありますか?