팔코 0.8.0부터 팔코는 공식적으로 default 규칙 파일과 local 규칙 파일의 개념을 지원한다. 이전에는 팔코 실행 시 여러 -r
인수로 이를 지원하였다. 0.8.0 에서는 이 개념을 공식화하여 팔코의 동작을 보다 쉽게 사용자 지정할 수 있지만, 소프트웨어 업그레이드의 일부로 규칙 변경에 대한 엑세스를 유지한다. 물론 falco.yaml
에서 rules_file
옵션을 변경하여 읽고 싶은 파일 집합을 언제든지 사용자 정의할수 있다.
항상 기본 규칙 파일을 먼저 읽은 다음 로컬 규칙 파일로 이어진다.
rpm/debian 패키지를 통해 설치되면, 두 규칙 파일과 팔코 구성 파일 모두 “config” 파일로 플래그가 지정된다. 즉, 수정된 경우에는 패키지 업그레이드/제거 시 재정의 되지 않는다.
기본 규칙 파일
기본 팔코 규칙 파일은 /etc/falco/falco_rules.yaml
에 설치된다. 다양한 상황에서 좋은 적용 범위를 제공하도록 설계된 사전 정의 규칙 집합이 포함되어 있다. 이러한 의도는 규칙 파일을 수정하지 않고, 각각의 새 소프트웨어 버전으로 대체하기 위한 것이다.
로컬 규칙 파일
로컬 팔코 규칙 파일은 /etc/falco/falco_rules.local.yaml
에 설치된다. 일부 주석 외에는 비어있다. 이는 기본 규칙 파일에 대한 추가/재정의/수정을 로컬 규칙파일에 추가하기 위함이다. 이 규칙 파일은 각각의 새 소프트웨어 버전으로 교체되지 않는다.
Table of contents