ホワイトリスト・スキャナー

このセクションでは、スキャナー・サービスをホワイトリストに登録する方法について説明します。

このタスクについて

デフォルトでは、fapolicyd (File Access Policy Daemon) はスキャンをブロックします。以下は、エラー・コードとエラー・メッセージが表示されるシナリオです。
  1. ソフトウェア・スキャナーのインストール、スキャナーのインストールまたはアップグレード の Fixlet がエラー・コード 1 で失敗し、installCITlog.txt ファイルが BES Client\LMT\CIT\ フォルダーにある場合は、コード 32512 が表示されます。
    Exec '/opt/tivoli/cit/bin/wscancfg -s common_trace_path /usr/ibm/tivoli/common/CIT/logs >/dev/null 2>&1' returned 32512
Setting common trace path='/usr/ibm/tivoli/common/CIT/logs' result=32512
Installation failed, rolling back
  2. ソフトウェア・スキャンの開始 Fixlet が完了しますが、すべてのタイプのスキャンは、BESClient/LMT/CIT/ フォルダーにある <computer_id>_citlog.log ファイルのエラー・コード 57 で終了します。
    Catalog scan failed: scanner finished with errors (57)
  3. キャパシティー・スキャナーの実行「キャパシティー・スキャンの実行および結果のアップロード」がエラー・コード 2 で失敗します。
回避策
スキャナー・ファイルを fapolicyd ホワイトリストに追加して、実行を許可します。
注: スキャナーを代替ディレクトリー <BES Client>/CITBin にインストールする場合は、それに応じてパスを編集します。
  • fapolicy が有効で、スキャナーのインストールまたはアップグレードが失敗します (RC 32512)
    ソフトウェア・スキャナーのインストール中に使用する共有ライブラリーをホワイトリストに登録するには、/etc/fapolicyd/rules.d/ フォルダー内にある 41-shared-obj.rules ファイルを変更します。次の行は元のルールの前に置く必要があります。
    allow perm=open exe=/opt/tivoli/cit/bin/wscancfg trust=0 : path=/opt/tivoli/cit/bin/libCcLogWrapper.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscancfg trust=0 : path=/opt/tivoli/cit/bin/libcitcfg.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscancfg trust=0 : path=/opt/tivoli/cit/bin/libxmlproxy.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscancfg trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscancfg trust=0 : path=/opt/tivoli/cit/bin/libxerces-c-3.2.1.so ftype=application/x-sharedlib trust=0
    次に、fagenrules --load コマンドを実行してアクティブなルールを更新し、fapolicyd サービスを再起動します。
  • fapolicyd が有効で、ソフトウェア・スキャンが失敗します (RC 57)
    /etc/fapolicyd/rules.d/ フォルダーにある 41-shared-obj.rules ファイルには、元のルールの前に次のルールを配置する必要があります。
    allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/wscansw.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libxerces-c-3.2.1.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libcitcfg.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libxmlproxy.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libCcLogWrapper.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/libfs.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/plugins/libcoreplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/plugins/libcsplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/plugins/libfssplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/plugins/libregplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/plugins/libxmlplugin.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/provider_cache.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/provider_cache2.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscansw trust=0 : path=/opt/tivoli/cit/bin/provider_cache3.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/wscanfs.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libfs.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libCcLogWrapper.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libcitcfg.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libxmlproxy.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/libxerces-c-3.2.1.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/provider_cache.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/provider_cache2.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanfs trust=0 : path=/opt/tivoli/cit/bin/provider_cache3.so ftype=application/x-sharedlib trust=0
    次に、fagenrules --load コマンドを実行してアクティブなルールを更新し、fapolicyd サービスを再起動します。
  • fapolicyd が有効で、「キャパシティー・スキャンの実行および結果のアップロード」が失敗します (RC 2)
    /etc/fapolicyd/rules.d/ フォルダーにある 41-shared-obj.rules ファイルには、元のルールの前に次のルールを配置する必要があります。
    allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/wscanhw.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libCcLogWrapper.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libcitcfg.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libxmlproxy.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libxerces-c-3.2.1.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libInvHW.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/cpuid trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
allow perm=open exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/libbase.so ftype=application/x-sharedlib trust=0
    また、90-deny-execute.rules ファイルには、元のルールの前に次のルールを配置する必要があります。
    allow perm=execute exe=/opt/tivoli/cit/bin/wscanhw trust=0 : path=/opt/tivoli/cit/bin/cpuid ftype=application/x-executable trust=0
    次に、fagenrules --load コマンドを実行してアクティブなルールを更新し、fapolicyd サービスを再起動します。
注: fapolicyd の詳細については、Red Hat を使用している場合は、Red Hat のマニュアルを参照してください。その他の Linux ディストリビューションについては、https://github.com/linux-application-whitelisting/fapolicyd を参照してください。