Утилита fapolicyd#

Утилита fapolicyd - это демон пространства пользователя, который определяет права доступа к файлам на основе базы данных доверия и атрибутов файлов/процессов. Может использоваться для занесения в черный или белый списки доступа к файлам и разрешений на выполнение.

Настройка fapolicyd осуществляется с помощью файлов в каталоге /etc/fapolicyd/. Функционирование демона определяют три файла: compiled.rules, fapolicyd.conf и fapolicyd.trust. Первый содержит политику доступа, второй определяет конфигурацию демона (подробнее см. в «Файл /etc/fapolicyd/fapolicyd»), последний позволяет определять доверенные файлы.

По умолчанию правила будут генерировать события аудита при каждом отказе в доступе.

Важно

Должно существовать хотя бы одно загруженное правило аудита, чтобы система аудита создавала полное событие FANOTIFY. То, какое именно правило загружено, не имеет значения.

Управление работой fapolicyd осуществляется с помощью утилиты fapolicyd-cli (подробнее см. в «Утилита fapolicyd-cli»).

Синтаксис fapolicyd:

fapolicyd <options>

Где <options> - опции.

Опции утилиты представлены в таблице ниже.

Опция	Описание
`--debug`	Запрет на переход в фоновый режим; вся информация о событиях выводится в стандартный поток сообщений об ошибках `stderr`
`--debug-deny`	Запрет на переход в фоновый режим; информация о событии записывается в `stderr` только тогда, когда принимается решение об отказе в доступе
`--permissive`	Разрешение на доступ к файлу независимо от решения политики; режим полезен для отладки правил, прежде чем сделать их постоянными
`--no-details`	Запрет на включение в отчет, формируемый по завершении `fapolicyd`, детальной информации, такой как имена файлов и процессов

Примеры использования#

Для запуска fapolicyd введите команду:
```
systemctl start fapolicyd
```
Подробнее про systemctl см. в «Утилита systemctl».
Чтобы проверить наличие событий аудита, связанных с работой fapolicyd, введите команду:
```
ausearch --start today -m fanotify -i
```
Подробнее про ausearch см. в «Утилита ausearch».