我有一个顾问正在我们公司的机器上安装一个应用程序。我们最近将服务器升级到 RHEL 8,并且有一定的 STIG 合规性要求才能使用 fapolicyd。
我们的新应用程序无法运行,因为它被 fapolicyd 阻止。
我试图创建一个规则以允许它运行。我尝试过以下格式:
allow perm=execute dir=/home/<app_name>/
allow perm=execute dir=/home/<app_name>/ : all
allow perm=execute dir=/home/<app_name>/ dir=/opt/<app_name_variant_versionNumber>/ dir=/opt/<app_name>/ : all
allow perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
allow_audit perm=execute exe=/home/<app_name>/ exe=/opt/<app_name_variant_versionNumber>/ exe=/opt/<app_name>/ : all
根据我从手册页中收集到的信息,exe= 必须具有实际可执行文件的完整路径,并且 dir 有一些可以使用的关键字。
我认为我的解决方案在于将 dir 与关键字一起使用,但我还没有在任何地方找到有关如何应用这些关键字的示例。
有谁有关于 fapolicyd 中的规则的所有功能和关键字如何工作的示例吗?
在我尝试之前,这是我们从调试尝试中收集到的信息:
rule=11 dec=deny_audit perm=open auid=-1 pid=702173
exe=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.392.b08-4.el8.x86_64/jre/bin/java
: path=/opt/<app_name_variant_versionNumber>/lib/launcher/groovy-3.0.7-indy.jar
ftype=application/java-archive trust=0
我是否误解了阻塞? 我应该为 java 访问我的应用程序制定规则吗?