Temos um servidor com SO Alma Linux 9.3. Por padrão (assim como todos os sistemas operacionais semelhantes ao RHEL atuais) ele está fapolicyd
habilitado. Há também um servidor de aplicativos (WildFly/JBoss/Java) em execução nesse servidor. O aplicativo implantado processa alguns arquivos de dados (enviados pelos usuários) e funciona bem na situação padrão.
No entanto, atualmente, há um período em que o aplicativo precisa processar cerca de 1.000 arquivos por minuto. Em tal situação, a fapolicyd
sobrecarga utiliza aproximadamente 15% da CPU, o que avaliamos como excessivo.
Não consegui encontrar ninguém com problema semelhante na internet.
Também estou surpreso que não haja nenhuma fapolicyd
tag aqui no ServerFault.
Questões:
- Existe uma maneira de otimizar
fapolicyd
a configuração para que ela possa decidir mais rapidamente se permite ou nega acesso a arquivos?- Uma coisa que me vem à mente é a ordenação das regras personalizadas.
- Talvez usando curinga em vez de regras literais.
- Alguma dica de como avaliar o quanto
fapolicyd
é importante para nós?- Se podemos simplesmente desligá-lo ou se é realmente uma boa ideia mantê-lo funcionando apesar da enorme sobrecarga.
- Se outras distribuições também usam algo parecido
fapolicyd
ou se é "apenas segurança adicional" eSELinux
é suficiente. (Eu sei que eles não são iguais.)
Fontes: