Файл /etc/fapolicyd/fapolicyd#

fapolicyd - это конфигурационный файл, содержащий настройки демона fapolicyd (подробнее см. в «Утилита fapolicyd»). Включает строки с записями, в каждой из которых прописаны по одному ключевые слова конфигурации, знак равенства и соответствующая информация о конфигурации. Строки, начинающиеся с #, являются комментариями.

Примеры ключевых слов:

  • permissive - определение политики записи в журнал нарушений правил. Может быть 0 или 1. По умолчанию 0 - отправка решений политики в ядро для принудительного исполнения. 1 - разрешение доступа всегда - используется для тестирования и отладки;

  • nice_val - расширение возможностей планировщика fapolicyd (от 0 до 20, по умолчанию 10);

  • q_size - управление размером внутренней очереди, используемой fapolicyd для сохранения ожидающих запросов в случае, если запросы поступают быстрее, чем fapolicyd может ответить;

  • uid - номер/имя учетной записи, на которую должен переключиться fapolicyd при запуске; по умолчанию 0;

  • gid - номер/название группы, на которую должен переключаться fapolicyd при запуске; по умолчанию равно 0;

  • do_stat_report - создание отчетов о статистике использования fapolicyd при завершении работы - количестве разрешенных доступов и отказов; может быть 0 (отчеты не создаются) или 1 (отчеты создаются), по умолчанию 1;

  • detailed_report - определение, должен (1) или нет (0) fapolicyd добавлять информацию о субъекте и объекте в отчет о статистике использования; по умолчанию 1;

  • db_max_size - количество мегабайт, до которого должна увеличиваться доверенная база данных; по умолчанию 50 Мб;

  • subj_cache_size - определение количества записей, хранящихся в кеше subject; по умолчанию 1549;

  • obj_cache_size - определение количества записей, хранящихся в кеше object; по умолчанию 8191;

  • watch_fs - список (через запятую) файловых систем, которые следует отслеживать на предмет наличия прав доступа; если ничего не указано, то по умолчанию будут доступны ext4, xfs и tmpfs;

  • trust - список (через запятую) доверенных серверов; если ничего не указано, то по умолчанию используется rpmdb,file;

  • integrity - указание стратегии обеспечения целостности; возможные значения:

    • none - значение по умолчанию, проверка целостности не выполняется;

    • size - сопоставление размера файла с тем, который должен быть;

    • ima - использование хеша SHA256, который подсистема IMA (подсистема контроля целостности) помещает в расширенные атрибуты файла в дополнение к проверке размера;

    • sha256 - вычисление хеша SHA256, а также проверка размера.

  • syslog_format - определение формата выходных данных решения о доступе - списка имен субъектов и объектов из правил, разделенных запятыми;

  • rpm_sha256_only - работа только с хешами SHA256 (если 1); может быть также 0 - сохранение дополнительно SHA1 в базе данных trustdb;

  • allow_filesystem_mark - отслеживание событий доступа к файлам в базовой файловой системе (если 1); по умолчанию 0, т.к. не все ядра это поддерживают.