我们有一台装有Alma Linux 9.3操作系统的服务器。默认情况下(以及当前所有类似 RHEL 的操作系统)它已fapolicyd
启用。该服务器上还运行着一个应用程序服务器(WildFly/JBoss/Java)。部署的应用程序处理一些数据文件(由用户提交),并且在标准情况下工作正常。
然而目前,有一段时间应用程序需要每分钟处理 1000 个左右的文件。在这种情况下,fapolicyd
开销占用了约 15% 的 CPU,我们认为该开销过高。
我在互联网上找不到有类似问题的人。
fapolicyd
我也很惊讶ServerFault 上没有标签。
问题:
- 有没有一种方法可以优化
fapolicyd
配置,以便它可以更快地决定是允许还是拒绝文件访问?- 我想到的一件事是自定义规则的排序。
- 也许使用通配符与使用文字规则。
- 有什么提示如何评估
fapolicyd
对我们来说有多重要吗?- 我们是否可以将其关闭,或者尽管开销巨大,但让它运行是否确实是一个好主意。
- 其他发行版是否也使用类似的东西
fapolicyd
,或者它是否“只是额外的安全性”就SELinux
足够了。(我知道它们不一样。)
资料来源: