Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l' CloudWatch agent avec Linux renforcé en termes de sécurité () SELinux
Si Linux (SELinux) est activé sur votre système, vous devez appliquer les politiques de sécurité appropriées pour garantir que l' CloudWatch agent s'exécute dans un domaine confiné.
Prérequis
Avant de procéder à la configuration SELinux de l'agent, vérifiez les conditions préalables suivantes :
Pour remplir les conditions préalables à l'utilisation de l' CloudWatch agent avec SELinux
-
Si vous ne l'avez pas encore fait, installez les packages de développement SELinux de politiques suivants :
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git -
Exécutez la commande suivante pour vérifier l' SELinux état de votre système :
sestatusExemple de sortie :
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33Si vous trouvez que cette SELinux option est actuellement désactivée, procédez comme suit :
-
Ouvrez le SELinux fichier en saisissant la commande suivante :
sudo vi /etc/selinux/config -
Définissez le
SELINUXparamètre surpermissiveouenforcing. Par exemple :SELINUX=enforcing -
Enregistrez le fichier et redémarrez le système pour appliquer les modifications.
sudo reboot
-
-
Assurez-vous que l' CloudWatch agent fonctionne en tant que
systemdservice. Cela est nécessaire pour l'utiliser dans un SELinux domaine confiné.sudo systemctl status amazon-cloudwatch-agentSi l'agent est correctement configuré, la sortie doit indiquer qu'il l'est
active (running)etenabledau démarrage.
Configuration SELinux pour l'agent
Une fois que vous avez rempli les conditions préalables, vous pouvez configurer SELinux.
SELinux Pour configurer l' CloudWatch agent
-
Clonez la SELinux politique de l' CloudWatch agent en saisissant la commande suivante :
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git -
Accédez au référentiel cloné, puis mettez à jour les autorisations du script en saisissant les commandes suivantes :
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.sh -
sudoÀ utiliser pour exécuter le script d'installation de la SELinux politique en saisissant la commande suivante. Pendant l'exécution, le script vous invite à entreryounà autoriser le redémarrage automatique. Ce redémarrage garantit que l'agent passe dans le SELinux domaine approprié.sudo ./amazon_cloudwatch_agent.sh -
Si l' CloudWatch agent n'a pas encore été redémarré, redémarrez-le pour vous assurer qu'il passe au bon SELinux domaine :
sudo systemctl restart amazon-cloudwatch-agent -
Vérifiez que CloudWatch l'agent est en cours d'exécution dans le domaine confiné en saisissant la commande suivante :
ps -efZ | grep amazon-cloudwatch-agentSi l'agent est correctement confiné, la sortie doit indiquer un domaine SELinux -confined au lieu de
unconfined_service_t.Voici un exemple de sortie lorsque l'agent est correctement confiné.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Une fois SELinux configuré, vous pouvez procéder à la configuration de l'agent pour collecter des métriques, des journaux et des traces. Pour de plus amples informations, veuillez consulter Création ou modification manuelle du fichier de configuration de CloudWatch l'agent.
