第10章 fapolicyd を使用したアプリケーションの拒否および許可

fapolicyd フレームワークには次のコンポーネントがあります。

管理者は、パス、ハッシュ、MIME タイプ、または信頼に基づいて、任意のアプリケーションの allow および deny 実行ルールを定義できます。その際に、監査を行うオプションも指定できます。

fapolicyd フレームワークにより、信頼の概念が導入されます。アプリケーションは、システムパッケージマネージャーによって正しくインストールされ、その結果としてシステム RPM データベースに登録されると、信頼できるものとみなされます。fapolicyd デーモンは、RPM データベースを信頼できるバイナリーとスクリプトのリストとして使用します。

fapolicyd RPM プラグインは、DNF または RPM パッケージマネージャーによって処理されるすべてのシステム更新を登録します。プラグインは、このデータベースの変更を fapolicyd デーモンに通知します。アプリケーションを追加する他の方法では、カスタムルールを作成し、fapolicyd サービスを再起動する必要があります。

詳細は、システムで man -k fapolicyd コマンドを使用すると表示される fapolicyd 関連の man ページを参照してください。

fapolicyd サービス設定は、次の構造を持つ /etc/fapolicyd/ ディレクトリーにあります。

/etc/fapolicyd/rules.d/ のルールは、それぞれ異なるポリシーゴールを表す複数のファイルで整理されます。対応するファイル名の先頭の数字によって、/etc/fapolicyd/compiled.rules での順序が決まります。

詳細情報と例は、fapolicyd パッケージとともにインストールされる /usr/share/doc/fapolicyd/ ディレクトリーのドキュメント、/usr/share/fapolicyd/sample-rules/README-rules ファイル、およびシステム上の fapolicyd.rules(5) および fagenrules(8) man ページを参照してください。

fapolicyd 整合性チェックには、次のいずれかの方法を使用できます。

デフォルトでは、fapolicyd は整合性チェックを行いません。ファイルサイズに基づいた整合性チェックは高速ですが、攻撃者はファイルの内容を置き換え、そのバイトサイズを保持することができます。SHA-256 チェックサムの計算とチェックがより安全ですが、システムのパフォーマンスに影響します。fapolicyd.conf の integrity = ima オプションを使用するには、実行可能ファイルが含まれているすべてのファイルシステムで、ファイルの拡張属性 (xattr とも呼ばれます) がサポートされている必要があります。