機械翻訳について

信頼データベースについて

fapolicydは、信頼データベースを使用して、システムによって信頼されているファイルを効率的に検索します。 ファイルが信頼データベースにない場合、fapolicydは処理ポリシー・ルールに戻り、イベントを許可するかどうかを決定します。

信頼データベースは、インストールされているRPMパッケージについてfapolicydが収集する情報と、構成ファイルを使用して手動で追加される情報にパーティション化されます。

信頼データベースには、RPMデータベースから情報をコピーすることで、システムにインストールされているファイルに関する情報が自動的に移入されます。 fapolicydが起動されるか、更新が実行されると、RPMデータベースにリストされているすべてのファイルの信頼データベースが更新されます。 新しいパッケージがインストールされるか、DNFを使用してパッケージが更新されると、信頼データベースも自動的に更新されます。 パッケージ・データの追跡はfapolicyd-dnf-pluginによって処理され、DNFの更新またはインストールについてfapolicydデーモンに通知します。

RPMコマンドを使用してパッケージを直接インストールした場合、fapolicyd RPMデータベースは更新されず、システムのフリーズが発生する可能性があります。 この場合、信頼データベースをリフレッシュする際に便利です。 詳細は、「信頼データベースのリフレッシュ」を参照してください。

管理者は、ソースのバイナリのコンパイル、Pythonのpipユーティリティ、Rubyのgemユーティリティ、Node.jsのnpmユーティリティまたはPerlのCPANツールの使用など、通常のDNFおよびRPMパッケージ・メカニズムの外部でファイルがインストールまたはシステムに追加されたときに、ファイルを手動で信頼データベースに追加することもできます。

信頼データベースでは、RPMデータベースに属しているために信頼されるファイルと、信頼データベースに手動で追加されたために信頼されるファイルという2つのタイプの信頼が区別されます。 たとえば、RPMデータベースから信頼されるエントリのタイプは、rpmdbです:

rpmdb /usr/bin/dnf-3 2092 0a53d05260ba7ed4573...7ec64816e3ad49a2078c84836aeb7833e

信頼データベースに手動で追加されるファイルのタイプは、filedbです。次に例を示します:

filedb /home/user/demo.bin 140468 e38cd120c925...46c9cd1aa83e44e697f0f3393d98b305

データベースには、ファイルへのパス、ファイルのサイズ(バイト)およびファイルのSHA-256ハッシュも格納されます。 ファイル・サイズおよびSHA-256ハッシュを使用して、ファイルに対してさらに整合性チェックを実行し、システムが悪意のあるアクティビティに対してより制限的で堅牢になります。 整合性チェックを有効にすると、特定の場所にあるファイルを変更することによって、fapolicydで作業しているユーザーに対して保護できますが、システム・デッドロックのリスクが高まるため、整合性チェックのためにfapolicydを構成することはお薦めしません。 整合性チェックは、デフォルトではfapolicydで無効になっています。 詳細は、「信頼不一致の確認」および「トラスト・データベースのエントリのリスト」を参照してください。

信頼データベース内の信頼できるファイルの処理はキャッシュされ、個々のポリシー・ルールの処理よりはるかに高速です。 したがって、DNFの外部でシステムで使用可能な特定のアプリケーションまたはファイルを信頼するためにfapolicydが必要な場合は、それらのルールを定義するよりも、それらを信頼ファイル・データベースに追加する方が効率的です。 ユーザー権限またはグループ権限に関するカスタム・ルールが必要な場合のみ、個々のファイルのポリシー・ルールを追加します。