12.2. fapolicyd のデプロイ

手順

1. fapolicyd パッケージをインストールします。

   # yum install fapolicyd

   Copy to Clipboard

2. オプション: 最初に設定を試すには、モードを permissive に変更します。

   1. 任意のテキストエディターで /etc/fapolicyd/fapolicyd.conf ファイルを開きます。以下に例を示します。

      # vi /etc/fapolicyd/fapolicyd.conf

      Copy to Clipboard

   2. permissive オプションの値を 0 から 1 に変更し、ファイルを保存してエディターを終了します。

      permissive = 1

      Copy to Clipboard

      または、サービスを開始する前に fapolicyd --debug-deny --permissive コマンドを使用して設定をデバッグできます。詳細は、fapolicyd に関連する問題のトラブルシューティング セクションを参照してください。

3. fapolicyd サービスを有効にして開始します。

   # systemctl enable --now fapolicyd

   Copy to Clipboard

4. /etc/fapolicyd/fapolicyd.conf を使用して permissive モードを有効にした場合:

   1. fapolicyd イベントを記録する Audit サービスを設定します。

      # auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes
      # service try-restart auditd

      Copy to Clipboard
   2. アプリケーションを使用します。

   3. 監査ログで fanotify 拒否を確認します。以下に例を示します。

      # ausearch -ts recent -m fanotify

      Copy to Clipboard

   4. デバッグしたら、対応する値を permissive = 0 に戻して permissive モードを無効にし、サービスを再起動します。

      # systemctl restart fapolicyd

      Copy to Clipboard

検証

1. fapolicyd サービスが正しく実行されていることを確認します。

   # systemctl status fapolicyd
   ● fapolicyd.service - File Access Policy Daemon
        Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled)
        Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago
   …
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for events

   Copy to Clipboard

2. root 権限のないユーザーとしてログインし、以下のように fapolicyd が機能していることを確認します。

   $ cp /bin/ls /tmp
   $ /tmp/ls
   bash: /tmp/ls: Operation not permitted

   Copy to Clipboard