12.2. fapolicyd 배포
fapolicyd
애플리케이션 허용 프레임워크를 배포할 때 먼저 허용 모드에서 구성을 시도하거나 기본 구성에서 서비스를 직접 활성화할 수 있습니다.
절차
fapolicyd
패키지를 설치합니다.# dnf install fapolicyd
선택 사항: 구성을 먼저 시도하려면 모드를 허용으로 변경합니다.
선택한 텍스트 편집기에서
/etc/fapolicyd/fapolicyd.conf
파일을 엽니다. 예를 들면 다음과 같습니다.# vi /etc/fapolicyd/fapolicyd.conf
허용
옵션의 값을0
에서1
로 변경하고 파일을 저장하고 편집기를 종료합니다.permissive = 1
또는 서비스를 시작하기 전에
fapolicyd --debug-deny --permissive
명령을 사용하여 구성을 디버깅할 수 있습니다. 자세한 내용은 fapolicyd 섹션 관련 문제 해결을 참조하십시오.
fapolicyd
서비스를 활성화하고 시작합니다.# systemctl enable --now fapolicyd
/etc/fapolicyd/fapolicyd.conf
를 통해 허용 모드를 활성화한 경우 :fapolicyd
이벤트를 기록하도록 감사 서비스를 설정합니다.# auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes # service try-restart auditd
- 애플리케이션을 사용합니다.
서비스 거부에 대한 감사 로그를
확인합니다
. 예를 들면 다음과 같습니다.# ausearch -ts recent -m fanotify
디버그할 때 해당 값을 허용
= 0으로 다시 변경하고 서비스를 다시 시작하여 허용
모드를 비활성화합니다.# systemctl restart fapolicyd
검증
fapolicyd
서비스가 올바르게 실행되고 있는지 확인합니다.# systemctl status fapolicyd ● fapolicyd.service - File Access Policy Daemon Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled) Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago … Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for events
root 권한이 없는 사용자로 로그인하여
fapolicyd
가 작동하는지 확인합니다. 예를 들면 다음과 같습니다.$ cp /bin/ls /tmp $ /tmp/ls bash: /tmp/ls: Operation not permitted