Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie den CloudWatch Agenten mit Linux mit verbesserter Sicherheit ein () SELinux
Wenn auf Ihrem System das sicherheitserweiterte Linux (SELinux) aktiviert ist, müssen Sie die entsprechenden Sicherheitsrichtlinien anwenden, um sicherzustellen, dass der CloudWatch Agent in einer begrenzten Domäne ausgeführt wird.
Voraussetzungen
Bevor Sie den Agenten konfigurieren SELinux können, überprüfen Sie die folgenden Voraussetzungen:
Um die Voraussetzungen für die Verwendung des CloudWatch Agenten mit zu erfüllen SELinux
Falls Sie dies noch nicht getan haben, installieren Sie die folgenden Entwicklungspakete SELinux für Richtlinien:
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build gitFühren Sie den folgenden Befehl aus, um den SELinux Status Ihres Systems zu überprüfen:
sestatusBeispielausgabe:
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33Wenn Sie feststellen, dass dies derzeit deaktiviert SELinux ist, gehen Sie wie folgt vor:
Öffnen Sie die SELinux Datei, indem Sie den folgenden Befehl eingeben:
sudo vi /etc/selinux/configSetzen Sie den
SELINUXParameter auf entwederpermissiveoderenforcing. Zum Beispiel:SELINUX=enforcingSpeichern Sie die Datei und starten Sie das System neu, um die Änderungen zu übernehmen.
sudo reboot
Stellen Sie sicher, dass der CloudWatch Agent als
systemdDienst ausgeführt wird. Dies ist erforderlich, um ihn innerhalb einer begrenzten SELinux Domäne verwenden zu können.sudo systemctl status amazon-cloudwatch-agentWenn der Agent korrekt konfiguriert ist, sollte in der Ausgabe angegeben werden, dass dies der Fall ist
active (running)undenabledbeim Start.
SELinux Für den Agenten konfigurieren
Nachdem Sie die Voraussetzungen erfüllt haben, können Sie konfigurieren SELinux.
Um SELinux für den CloudWatch Agenten zu konfigurieren
Klonen Sie die SELinux Richtlinie für den CloudWatch Agenten, indem Sie den folgenden Befehl eingeben:
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.gitNavigieren Sie zum geklonten Repository und aktualisieren Sie dann die Skriptberechtigungen, indem Sie die folgenden Befehle eingeben:
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.shDient
sudozum Ausführen des SELinux Richtlinieninstallationsskripts, indem Sie den folgenden Befehl eingeben. Während der Ausführung fordert Sie das Skript auf, den automatischen Neustart einzugebenyodernzuzulassen. Dieser Neustart stellt sicher, dass der Agent in die richtige SELinux Domäne wechselt.sudo ./amazon_cloudwatch_agent.shWenn der CloudWatch Agent noch nicht neu gestartet wurde, starten Sie ihn neu, um sicherzustellen, dass er zur richtigen SELinux Domäne wechselt:
sudo systemctl restart amazon-cloudwatch-agentStellen Sie sicher, dass der CloudWatch Agent in der begrenzten Domäne ausgeführt wird, indem Sie den folgenden Befehl eingeben:
ps -efZ | grep amazon-cloudwatch-agentWenn der Agent korrekt eingeschränkt ist, sollte in der Ausgabe anstelle von
unconfined_service_teine SELinux -eingeschränkte Domäne angezeigt werden.Im Folgenden finden Sie ein Beispiel für eine Ausgabe, bei der der Agent korrekt eingeschränkt ist.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Nach SELinux der Konfiguration können Sie mit der Konfiguration des Agenten fortfahren, um Metriken, Protokolle und Traces zu sammeln. Weitere Informationen finden Sie unter Erstellen oder bearbeiten Sie die CloudWatch Agenten-Konfigurationsdatei manuell.
