10.2. 部署 fapolicyd

流程

1. 安装 fapolicyd 软件包：

   # dnf install fapolicyd

2. 可选：要先尝试配置，请将模式改为 permissive。

   1. 在您选择的文本编辑器中打开 /etc/fapolicyd/fapolicyd.conf 文件，例如：

      # vi /etc/fapolicyd/fapolicyd.conf

   2. 将 permissive 选项的值从 0 改为 1，保存文件，并退出编辑器：

      permissive = 1

      或者，您可以在启动服务前使用 fapolicyd --debug-deny --permissive 命令调试配置。如需更多信息，请参阅 故障排除与 fapolicyd 相关的问题 部分。

3. 启用并启动 fapolicyd 服务：

   # systemctl enable --now fapolicyd

4. 如果您通过 /etc/fapolicyd/fapolicyd.conf 启用了 permissive 模式：

   1. 设置 Audit 服务，以记录 fapolicyd 事件：

      # auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes
      # service try-restart auditd

   2. 使用您的应用程序。

   3. 检查 Audit 日志中是否有 fanotify 拒绝，例如：

      # ausearch -ts recent -m fanotify

   4. 调试后，通过将相应的值改回 permissive = 0 来禁用 permissive 模式，然后重启服务：

      # systemctl restart fapolicyd

验证

1. 验证 fapolicyd 服务是否正常运行：

   # systemctl status fapolicyd
   ● fapolicyd.service - File Access Policy Daemon
        Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled)
        Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago
   …
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend
   Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for events

2. 以没有 root 权限的用户身份登录，检查 fapolicyd 是否正常工作，例如：

   $ cp /bin/ls /tmp
   $ /tmp/ls
   bash: /tmp/ls: Operation not permitted