Linuxベースのシステム(特にFedoraバージョン)でアプリケーションの実行アクセスを管理するためのソリューション/代替案を知りたいです。
統合測定アーキテクチャ、Fapolicyd、Microsoft 整合性ポリシーの実施などの可能性を調査しました。
私は単に実行可能ファイルのハッシュを既知のリストと比較するよりも多くの機能を備えたソリューションに興味がありますが、現時点ではほとんどすべての提案を歓迎します。
このメカニズムが必要な目的は、特定のコンピュータ(私が所有して管理しているコンピュータ)のユーザーに、私が実行することを承認したコードのみを実行させることです。
答え1
fapolicydはこれを行うことができます。
fapolicyd は、信頼データベースとファイルまたはプロセス属性に基づいてファイルアクセス権を決定するユーザー空間デーモンです。ファイルアクセスと実行をブラックリストまたはホワイトリストに追加するために使用できます。
- ~から
man 5 fapolicyd
各man 5 fapolicyd.rulesハッシュ、ファイルパス、フルディレクトリ、ソースデバイス、MIMEタイプ、またはファイルハッシュごとに実行を制御できます。このアクセス制御は、uid / gid、実行可能ファイルなどを指定することで、プリンシパルによってさらにロックできます。
Red Hat には fapolicyd ドキュメントがあります。ここ。前述のマニュアルページにも良い文書があります。