機械翻訳について

許可モードでの対話型デバッグ

デフォルトでは、fapolicydは強制モードで構成されています。 デバッグに役立つように、許容モードを構成できます。 permissiveモードでは、fapolicydが強制モードでブロックした可能性のあるイベントは実行できますが、監査されます。 許容モードでfapolicydを対話的に実行し、デバッグを有効にしてこれらのイベントの詳細を表示できます。

1. fapolicydサービスを停止します。

   systemctlを使用してサービスを停止します:

   sudo systemctl stop fapolicyd

2. デバッグを有効にして、許容モードでfapolicydを実行します。

   --permissiveおよび--debugオプションを指定して、次のfapolicydコマンドを実行します:

   sudo fapolicyd --permissive --debug

   コマンドの出力は次のようになります:

   datetime [ INFO ]: Can handle 524288 file descriptors
   date time [ INFO ]: Ruleset identity: 0a028cfb95e93569d565d732890384b69952d7841d10af060e3...
   date time [ DEBUG ]: Loading rule file:
   date time [ DEBUG ]: ## This file is automatically generated from /etc/fapolicyd/rules.d
   date time [ DEBUG ]: %languages=application/x-bytecode.ocaml,application/x-bytecode.python...
   date time [ DEBUG ]: allow perm=any uid=0 : dir=/var/tmp/
   date time [ DEBUG ]: allow perm=any uid=0 trust=1 : all
   date time [ DEBUG ]: allow perm=open exe=/usr/bin/rpm : all
   date time [ DEBUG ]: allow perm=open exe=/usr/bin/python3.12 comm=dnf : all
   date time [ DEBUG ]: deny_audit perm=any pattern=ld_so : all
   date time [ DEBUG ]: deny_audit perm=any all : ftype=application/x-bad-elf
   date time [ DEBUG ]: allow perm=open all : ftype=application/x-sharedlib trust=1
   date time [ DEBUG ]: deny_audit perm=open all : ftype=application/x-sharedlib
   date time [ DEBUG ]: allow perm=execute all : trust=1
   date time [ DEBUG ]: allow perm=open all : ftype=%languages trust=1
   date time [ DEBUG ]: deny_audit perm=any all : ftype=%languages
   date time [ DEBUG ]: allow perm=any all : ftype=text/x-shellscript
   date time [ DEBUG ]: deny_audit perm=execute all : all
   date time [ DEBUG ]: allow perm=open all : all
   date time [ DEBUG ]: Loaded 14 rules
   date time [ DEBUG ]: Changed to uid 985
   date time [ INFO ]: Initializing the trust database
   date time [ INFO ]: fapolicyd integrity is 0
   date time [ DEBUG ]: backend rpmdb registered
   date time [ DEBUG ]: backend file registered
   date time [ INFO ]: Loading rpmdb backend
   date time [ DEBUG ]: Loading file backend
   date time [ INFO ]: Checking if the trust database up to date
   date time [ INFO ]: Importing trust data from rpmdb backend
   date time [ INFO ]: Importing trust data from file backend
   date time [ INFO ]: Entries in trust DB: 37080
   date time [ INFO ]: Loaded trust info from all backends(without duplicates): 37080
   date time [ INFO ]: Trust database checks OK
   date time [ DEBUG ]: added / mount point
   date time [ DEBUG ]: added /dev/shm mount point

   強制モードでの実行で拒否されたイベントの場合は、コマンド出力にdec=deny_auditでタグ付けされます。

   ヒント:

   デバッグ出力は冗長にできます。 拒否イベントのみを出力するには、標準の--debugオプションのかわりに--debug-denyオプションを使用します。 ただし、拒否イベントを監査するためにデバッグ・モードで実行する必要はありません。 詳細は、「許可モードでの拒否イベントの監査」を参照してください。 拒否イベントの詳細情報を取得する必要がある場合は、システム・ログに記録するようにルールを変更します。 詳細は、「デフォルト・ポリシー・ロギングの変更」を参照してください。

3. permissiveモードを終了します。

   fapolicyd出力のモニタリングが終了したら、Ctrl-Cキーを押してSIGINTを送信し、実行中のデーモンを停止します。