1 ファイル・アクセス・ポリシー・デーモンについて
ファイル・アクセス・ポリシー・デーモン(fapolicyd)は、実行権限のあるアプリケーションを制限することでシステムの保護に役立てるために使用できるサービスです。 このサービスは、SELinuxなどの他のセキュリティ関連サービスを補完するために使用できます。 ファイルとアプリケーションがシステムにどのようにインストールされているか、およびそれらが信頼されているかどうかには関係しないSELinuxとは異なり、fapolicydは、アプリケーションが信頼できるかどうか、およびシステムにどのようにインストールされているかに基づいてポリシー決定を実装します。
fapolicydは、fanotifyカーネルAPIを使用してファイル・システム・イベントをモニターします。 ファイルがアクセスされると、fapolicydは、信頼データベースに対してファイルをチェックし、一連のポリシー・ルールを評価することによって、イベントを続行できるかどうかを決定します。 ファイルが信頼データベースになく、ポリシー・ルールによってアクションが拒否された場合、イベントはブロックされ、EACCESSの「権限が拒否されました」エラーがユーザーに返されます。
fapolicydは、DNFプラグインを使用して、DNFによってインストールされたファイルを信頼データベースに自動的に追加します。 このアプローチは、システムに適切にインストールされたファイルを評価する際に、fapolicydをより効率的にするのに役立ちます。 ファイルはSHA-256ハッシュに基づいて評価できるため、信頼データベースに追加された後に変更することはできません。 オプションで、DNFによってインストールされていないファイルの信頼データベースにファイルを追加できます。 ファイルを手動で追加した後、またはDNFフレームワークの外部でrpmコマンドを使用してファイルをインストールする場合は、データベースをリロードする必要があります。
fapolicydによってキャッシュが使用され、パフォーマンスの向上、ルールの処理および頻繁なイベントのデータベース参照の実行に要する時間の短縮に役立ちます。
fapolicydルールでは、イベントの監査に使用できるロギング・オプションを定義します。 デフォルトのポリシーでは、ausearchコマンドを使用して表示できる監査ログが使用されます。 ポリシー・ルールを変更して、システム・ログまたは監査ログとシステム・ログの両方にログを記録し、デバッグに役立てることができます。
fapolicydの詳細は、https://github.com/linux-application-whitelisting/fapolicydを参照してください。