12.2. fapolicyd のデプロイ
fapolicyd アプリケーションの許可リストフレームワークをデプロイする場合は、最初に permissive モードで設定を最初に試すか、デフォルト設定でサービスを直接有効にできます。
手順
fapolicydパッケージをインストールします。# dnf install fapolicydオプション: 最初に設定を試すには、モードを permissive に変更します。
任意のテキストエディターで
/etc/fapolicyd/fapolicyd.confファイルを開きます。以下に例を示します。# vi /etc/fapolicyd/fapolicyd.confpermissiveオプションの値を0から1に変更し、ファイルを保存してエディターを終了します。permissive = 1
または、サービスを開始する前に
fapolicyd --debug-deny --permissiveコマンドを使用して設定をデバッグできます。詳細は、fapolicyd に関連する問題のトラブルシューティング セクションを参照してください。
fapolicydサービスを有効にして開始します。# systemctl enable --now fapolicyd/etc/fapolicyd/fapolicyd.confを使用して Permissive モードを有効にした場合:fapolicydイベントを記録する Audit サービスを設定します。# auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes # service try-restart auditd
- アプリケーションを使用します。
監査ログで
fanotify拒否を確認します。以下に例を示します。# ausearch -ts recent -m fanotifyデバッグ時に、対応する値を
permissive = 0に戻して Permissive モードを無効にし、サービスを再起動します。# systemctl restart fapolicyd
検証
fapolicydサービスが正しく実行されていることを確認します。# systemctl status fapolicyd ● fapolicyd.service - File Access Policy Daemon Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled) Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago … Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for eventsroot 権限のないユーザーとしてログインし、以下のように
fapolicydが機能していることを確認します。$ cp /bin/ls /tmp $ /tmp/ls bash: /tmp/ls: Operation not permitted
