10.2. fapolicyd のデプロイ

fapolicyd アプリケーションの許可リストフレームワークをデプロイする場合は、最初に permissive モードで設定を最初に試すか、デフォルト設定でサービスを直接有効にできます。

手順

fapolicyd パッケージをインストールします。
```
# dnf install fapolicyd
```
オプション: 最初に設定を試すには、モードを permissive に変更します。
1. 任意のテキストエディターで /etc/fapolicyd/fapolicyd.conf ファイルを開きます。以下に例を示します。
  # vi /etc/fapolicyd/fapolicyd.conf
2. permissive オプションの値を 0 から 1 に変更し、ファイルを保存してエディターを終了します。
  permissive = 1
  または、サービスを開始する前に fapolicyd --debug-deny --permissive コマンドを使用して設定をデバッグできます。詳細は、fapolicyd に関連する問題のトラブルシューティングセクションを参照してください。
fapolicyd サービスを有効にして開始します。
```
# systemctl enable --now fapolicyd
```
/etc/fapolicyd/fapolicyd.conf を使用して permissive モードを有効にした場合:
1. fapolicyd イベントを記録する Audit サービスを設定します。
  # auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes # service try-restart auditd
2. アプリケーションを使用します。
3. 監査ログで fanotify 拒否を確認します。以下に例を示します。
  # ausearch -ts recent -m fanotify
4. デバッグしたら、対応する値を permissive = 0 に戻して permissive モードを無効にし、サービスを再起動します。
  # systemctl restart fapolicyd

検証

fapolicyd サービスが正しく実行されていることを確認します。

# systemctl status fapolicyd
● fapolicyd.service - File Access Policy Daemon
     Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled)
     Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago
…
Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend
Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend
Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for events

root 権限のないユーザーとしてログインし、以下のように fapolicyd が機能していることを確認します。
```
$ cp /bin/ls /tmp
$ /tmp/ls
bash: /tmp/ls: Operation not permitted
```

10.2. fapolicyd のデプロイ

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links