12.2. fapolicyd のデプロイ
fapolicyd アプリケーション許可リストフレームワークをデプロイする場合、最初に permissive モードで設定を試すか、デフォルト設定でサービスを直接有効にすることができます。
手順
fapolicydパッケージをインストールします。# yum install fapolicydオプション: 最初に設定を試すには、モードを permissive に変更します。
任意のテキストエディターで
/etc/fapolicyd/fapolicyd.confファイルを開きます。以下に例を示します。# vi /etc/fapolicyd/fapolicyd.confpermissiveオプションの値を0から1に変更し、ファイルを保存してエディターを終了します。permissive = 1
または、サービスを開始する前に、
fapolicyd --debug-deny --permissiveコマンドを使用して設定をデバッグすることもできます。詳細は、fapolicyd に関連する問題のトラブルシューティングの セクションを参照してください。
fapolicydサービスを有効にして開始します。# systemctl enable --now fapolicyd/etc/fapolicyd/fapolicyd.confを通じて permissive モードを有効にした場合:fapolicydイベントを記録するための監査サービスを設定します。# auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes # service try-restart auditd
- アプリケーションを使用してください。
監査ログで
fanotify拒否を確認します。例:# ausearch -ts recent -m fanotifyデバッグしたら、対応する値を
permissive = 0に戻して permissive モードを無効にし、サービスを再起動します。# systemctl restart fapolicyd
検証
fapolicydサービスが正しく実行されていることを確認します。# systemctl status fapolicyd ● fapolicyd.service - File Access Policy Daemon Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled) Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago … Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for eventsroot 権限のないユーザーとしてログインし、以下のように
fapolicydが機能していることを確認します。$ cp /bin/ls /tmp $ /tmp/ls bash: /tmp/ls: Operation not permitted
