{"id":4210,"date":"2025-10-13T07:00:00","date_gmt":"2025-10-13T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=4210"},"modified":"2025-09-10T09:51:28","modified_gmt":"2025-09-10T07:51:28","slug":"gedanken-zum-file-access-policy-daemon-fapolicyd","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/gedanken-zum-file-access-policy-daemon-fapolicyd\/","title":{"rendered":"Gedanken zum File Access Policy Daemon fapolicyd"},"content":{"rendered":"\n<p>Wie ihr in <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/?p=4194\">&#8222;Wenn ansible.builtin.ping kein pong zur\u00fcckgibt,\u2026&#8220;<\/a> nachlesen k\u00f6nnt, bin ich k\u00fcrzlich mit dem <a href=\"https:\/\/github.com\/linux-application-whitelisting\/fapolicyd\"><em>File Access Policy Daemon<\/em> <code>fapolicyd<\/code><\/a> aneinandergeraten. In diesem Beitrag m\u00f6chte ich meine Gedanken zu dieser Anwendung und einige Links zu weiterf\u00fchrenden Informationen mit euch teilen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Das Software-Framework <strong>fapolicyd<\/strong> steuert die Ausf\u00fchrung von Anwendungen basierend auf einer benutzerdefinierten Richtlinie. Dies ist eine der effizientesten Methoden, um die Ausf\u00fchrung nicht vertrauensw\u00fcrdiger und potenziell b\u00f6sartiger Anwendungen auf dem System zu verhindern.<\/p>\n<cite>\u00dcbersetzung aus <a href=\"https:\/\/docs.redhat.com\/en\/documentation\/red_hat_enterprise_linux\/10\/html\/security_hardening\/blocking-and-allowing-applications-by-using-fapolicyd#introduction-to-fapolicyd\">Introduction to fapolicyd<\/a><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Informationen zu <code>fapolicyd<\/code><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Quell-Repository: <a href=\"https:\/\/github.com\/linux-application-whitelisting\/fapolicyd\">https:\/\/github.com\/linux-application-whitelisting\/fapolicyd<\/a><\/li>\n\n\n\n<li>Dokumentation im RHEL security hardening guide f\u00fcr\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/docs.redhat.com\/en\/documentation\/red_hat_enterprise_linux\/8\/html-single\/security_hardening\/index#introduction-to-fapolicyd_assembly_blocking-and-allowing-applications-using-fapolicyd\">RHEL 8<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/docs.redhat.com\/en\/documentation\/red_hat_enterprise_linux\/9\/html-single\/security_hardening\/index#introduction-to-fapolicyd_assembly_blocking-and-allowing-applications-using-fapolicyd\">RHEL 9<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/docs.redhat.com\/en\/documentation\/red_hat_enterprise_linux\/10\/html-single\/security_hardening\/index#blocking-and-allowing-applications-by-using-fapolicyd\">RHEL 10<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Lose Gedanken<\/h2>\n\n\n\n<p>Zuerst m\u00f6chte ich noch ein Zitat aus einem Matrix-Kanal mit euch teilen:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Klingt ein bischen wie SELinux f\u00fcr Arme ^W Menschen mit Freizeit.<br>Ich glaube,ich mu\u00df mal was anderes machen. Irgendwas mit Holz\u2026 ;-)<\/p>\n<cite>Ulf Volmer im <a href=\"https:\/\/matrix.to\/#\/!WLyaDmMpaXscuRbSor:matrix.org\/$QDzUREQyhkBQWEe5ABWUD-d9k3FJtw7n6OsVv52MT6E?via=matrix.org&amp;via=tchncs.de&amp;via=fairydust.space\">TILpod-Matrix-Kanal<\/a><\/cite><\/blockquote>\n\n\n\n<p>Dazu m\u00f6chte ich schreiben, dass <code>fapolicyd<\/code> nicht als Alternative, sondern eher als Erg\u00e4nzung zu <code>SELinux<\/code> zu sehen ist. Es handelt sich dabei also um ein weiteres Werkzeug, mit dem sich steuern l\u00e4sst, was auf einem System ausgef\u00fchrt werden darf und was nicht.<\/p>\n\n\n\n<p>Ich kann nachvollziehen, warum man sich solch ein Werkzeug w\u00fcnscht. Es bietet potenziell eine Antwort auf die Frage: \u201eWie verhindere ich, dass User beliebige <code>flatpaks<\/code> aus dem Internet herunterladen und aus ihrem HOME-Verzeichnis ausf\u00fchren?\u201c<\/p>\n\n\n\n<p>Ob es daf\u00fcr wirklich gut geeignet ist, habe ich nicht getestet. Es hat jedoch gezeigt, dass es meine Python-Skripte blockieren kann. Allerdings habe ich dabei auch gelernt, dass man diesen Schutz relativ leicht umgehen kann, indem man einfach die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Shebang\">Shebang<\/a> wegl\u00e4sst und das Skript manuell als Argument an einen Python-Interpreter \u00fcbergibt. Siehe dazu meinen <a href=\"https:\/\/github.com\/linux-application-whitelisting\/fapolicyd\/issues\/298#issuecomment-3270804256\">Kommentar auf GitHub<\/a>.<\/p>\n\n\n\n<p>Generell scheint es aufw\u00e4ndig zu sein, <a href=\"https:\/\/github.com\/linux-application-whitelisting\/fapolicyd\/issues\/74\">Regeln f\u00fcr HOME-Verzeichnisse<\/a> zu konfigurieren. Ein <a href=\"https:\/\/github.com\/linux-application-whitelisting\/fapolicyd\/pull\/303\">Pull-Request<\/a> hierzu wurde zur\u00fcckgezogen.<\/p>\n\n\n\n<p>Auf mich macht dies bisher den Eindruck, dass <code>fapolicyd<\/code> in der Tat mehr Arbeit und \u00c4rger f\u00fcr Sysadmins bedeutet, jedoch nur einen geringen Zugewinn an Sicherheit bringt.<\/p>\n\n\n\n<p>Was haltet ihr davon? Teilt eure Gedanken gern in den Kommentaren. Ich freue mich, zu lernen, welche Vor- und Nachteile ihr in <code>fapolicyd<\/code> seht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wie ihr in &#8222;Wenn ansible.builtin.ping kein pong zur\u00fcckgibt,\u2026&#8220; nachlesen k\u00f6nnt, bin ich k\u00fcrzlich mit dem File Access Policy Daemon fapolicyd aneinandergeraten. In diesem Beitrag m\u00f6chte ich meine Gedanken zu dieser Anwendung und einige Links zu weiterf\u00fchrenden Informationen mit euch teilen. Das Software-Framework fapolicyd steuert die Ausf\u00fchrung von Anwendungen basierend auf einer benutzerdefinierten Richtlinie. Dies ist<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/gedanken-zum-file-access-policy-daemon-fapolicyd\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"standard","_metis_text_length":2373,"_post_count":0,"footnotes":""},"categories":[95],"tags":[899,430,305],"class_list":["post-4210","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-fapoliyd","tag-osbn","tag-planet"],"public_identification_id":"744acdf3db0f4afc9e6291068a49a77b","private_identification_id":"56c98a0c36394943834955a1ffe49245","_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=4210"}],"version-history":[{"count":2,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4210\/revisions"}],"predecessor-version":[{"id":4213,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4210\/revisions\/4213"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=4210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=4210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=4210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}