12.2. 部署 fapolicyd


在部署 fapolicyd 应用程序允许列表框架时,您可以先以 permissive 模式尝试配置,或者在默认配置中直接启用该服务。

流程

  1. 安装 fapolicyd 软件包:

    # yum install fapolicyd
  2. 可选: 要首先尝试配置,请将 mode 更改为 permissive。

    1. 在您选择的文本编辑器中打开 /etc/fapolicyd/fapolicyd.conf 文件,例如:

      # vi /etc/fapolicyd/fapolicyd.conf
    2. permissive 选项的值从 0 改为 1,保存文件并退出编辑器:

      permissive = 1

      或者,您可以在启动该服务前使用 fapolicyd --debug-deny --permissive 命令调试配置。如需更多信息,请参阅与 fapolicyd 相关的 故障排除部分。

  3. 启用并启动 fapolicyd 服务:

    # systemctl enable --now fapolicyd
  4. 如果您通过 /etc/fapolicyd/fapolicyd.conf 启用 permissive 模式:

    1. 为记录 fapolicyd 事件设置审计服务:

      # auditctl -w /etc/fapolicyd/ -p wa -k fapolicyd_changes
      # service try-restart auditd
    2. 使用您的应用程序。
    3. 检查审计日志中的 fanotify denials,例如:

      # ausearch -ts recent -m fanotify
    4. 在调试后,通过将对应的值改回到 permissive = 0 来禁用 permissive 模式,然后重新启动服务:

      # systemctl restart fapolicyd

验证

  1. 验证 fapolicyd 服务是否正常运行:

    # systemctl status fapolicyd
    ● fapolicyd.service - File Access Policy Daemon
         Loaded: loaded (/usr/lib/systemd/system/fapolicyd.service; enabled; preset: disabled)
         Active: active (running) since Tue 2024-10-08 05:53:50 EDT; 11s ago
    …
    Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from rpmdb backend
    Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Loading trust data from file backend
    Oct 08 05:53:51 machine1.example.com fapolicyd[4974]: Starting to listen for events
  2. 以没有 root 权限的用户身份登录,检查 fapolicyd 是否正常工作,例如:

    $ cp /bin/ls /tmp
    $ /tmp/ls
    bash: /tmp/ls: Operation not permitted
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.