Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie den CloudWatch Agenten mit Linux mit verbesserter Sicherheit ein () SELinux
<a name="CloudWatch-Agent-SELinux"></a>

Wenn auf Ihrem System das sicherheitserweiterte Linux (SELinux) aktiviert ist, müssen Sie die entsprechenden Sicherheitsrichtlinien anwenden, um sicherzustellen, dass der CloudWatch Agent in einer begrenzten Domäne ausgeführt wird. 

## Voraussetzungen
<a name="CloudWatch-Agent-SELinux-prerequisites"></a>

**Bevor Sie den Agenten konfigurieren SELinux können, überprüfen Sie die folgenden Voraussetzungen:**

**Um die Voraussetzungen für die Verwendung des CloudWatch Agenten mit zu erfüllen SELinux**

1. Falls Sie dies noch nicht getan haben, installieren Sie die folgenden Entwicklungspakete SELinux für Richtlinien:

   ```
   sudo yum update
   sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
   ```

1. Führen Sie den folgenden Befehl aus, um den SELinux Status Ihres Systems zu überprüfen:

   ```
   sestatus
   ```

   Beispielausgabe:

   ```
   SELinux status:                 enabled
   SELinuxfs mount:                /sys/fs/selinux
   SELinux root directory:         /etc/selinux
   Loaded policy name:             targeted
   Current mode:                   permissive
   Mode from config file:          permissive
   Policy MLS status:              enabled
   Policy deny_unknown status:     allowed
   Memory protection checking:     actual (secure)
   Max kernel policy version:      33
   ```

   Wenn Sie feststellen, dass dies derzeit deaktiviert SELinux ist, gehen Sie wie folgt vor:

   1. Öffnen Sie die SELinux Datei, indem Sie den folgenden Befehl eingeben:

      ```
      sudo vi /etc/selinux/config
      ```

   1. Setzen Sie den `SELINUX`-Parameter auf `permissive` oder `enforcing`. Beispiel:

      ```
      SELINUX=enforcing
      ```

   1. Speichern Sie die Datei und starten Sie das System neu, um die Änderungen zu übernehmen.

      ```
      sudo reboot
      ```

1. Stellen Sie sicher, dass der CloudWatch Agent als `systemd` Dienst ausgeführt wird. Dies ist erforderlich, um ihn innerhalb einer begrenzten SELinux Domäne zu verwenden.

   ```
   sudo systemctl status amazon-cloudwatch-agent
   ```

   Wenn der Agent korrekt konfiguriert ist, sollte beim Start `active (running)` und `enabled` ausgegeben werden.

## SELinux Für den Agenten konfigurieren
<a name="CloudWatch-Agent-SELinux-configure"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, können Sie konfigurieren SELinux.

**Um SELinux für den CloudWatch Agenten zu konfigurieren**

1. Klonen Sie die SELinux Richtlinie für den CloudWatch Agenten, indem Sie den folgenden Befehl eingeben:

   ```
   git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
   ```

1. Navigieren Sie zum geklonten Repository und aktualisieren Sie dann die Skriptberechtigungen, indem Sie die folgenden Befehle eingeben:

   ```
   cd amazon-cloudwatch-agent-selinux  
   chmod +x amazon_cloudwatch_agent.sh
   ```

1. Dient `sudo` zum Ausführen des SELinux Richtlinien-Installationsskripts, indem Sie den folgenden Befehl eingeben. Während der Ausführung fordert Sie das Skript auf, `y` oder `n` einzugeben, um den automatischen Neustart zu ermöglichen. Durch diesen Neustart wird sichergestellt, dass der Agent in die richtige SELinux Domäne wechselt.

   ```
   sudo ./amazon_cloudwatch_agent.sh
   ```

1. Wenn der CloudWatch Agent noch nicht neu gestartet wurde, starten Sie ihn neu, um sicherzustellen, dass er zur richtigen SELinux Domäne wechselt:

   ```
   sudo systemctl restart amazon-cloudwatch-agent
   ```

1. Stellen Sie sicher, dass der CloudWatch Agent in der begrenzten Domäne ausgeführt wird, indem Sie den folgenden Befehl eingeben:

   ```
   ps -efZ | grep amazon-cloudwatch-agent
   ```

   Wenn der Agent korrekt eingeschränkt ist, sollte in der Ausgabe anstelle von `unconfined_service_t` eine SELinux -eingeschränkte Domäne angezeigt werden.

   Nachstehend finden Sie ein Beispiel für eine Ausgabe, wenn der Agent korrekt eingeschränkt wurde.

   ```
   system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
   ```

Nach SELinux der Konfiguration können Sie mit der Konfiguration des Agenten fortfahren, um Metriken, Protokolle und Traces zu sammeln. Weitere Informationen finden Sie unter [Erstellen oder bearbeiten Sie die CloudWatch Agenten-Konfigurationsdatei manuell](CloudWatch-Agent-Configuration-File-Details.md).