我想了解管理基于 Linux 的系统(特别是 Fedora 版本)中应用程序的执行访问的解决方案/替代方案。
我已经研究过集成测量架构、fapolicyd 或 Microsoft 完整性策略执行等可能性。
我对具有更多功能的解决方案更感兴趣,而不是简单地将可执行文件的哈希值与已知列表进行比较,但在这一点上,几乎任何建议都是受欢迎的。
我需要这种机制的目的是强制某些机器(我拥有和管理的机器)的用户只能执行我授权他们执行的代码。
答案1
fapolicyd 能够做到这一点。
fapolicyd 是一个用户空间守护进程,它根据信任数据库和文件或进程属性确定文件的访问权限。它可用于将文件访问和执行列入黑名单或白名单。
- 从
man 5 fapolicyd
Per man 5 fapolicyd.rules,您可以通过哈希、文件路径、整个目录、源设备、mime 类型或文件哈希来控制执行。此访问控制可以由主体进一步锁定,指定 uid/gid、可执行文件等。
红帽有可用的 fapolicyd 文档这里。上述手册页也有不错的文档。