Configuration de l' CloudWatch agent avec un système Linux sécurisé () SELinux - Amazon CloudWatch
PrérequisConfiguration SELinux pour l'agent

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l' CloudWatch agent avec un système Linux sécurisé () SELinux

Si Linux (SELinux) est activé sur votre système, vous devez appliquer les politiques de sécurité appropriées pour garantir que l' CloudWatch agent s'exécute dans un domaine confiné.

Prérequis

Avant de procéder à la configuration SELinux de l'agent, vérifiez les conditions préalables suivantes :

Pour remplir les conditions préalables à l'utilisation de l' CloudWatch agent avec SELinux

  1. Si vous ne l'avez pas encore fait, installez les packages de développement SELinux de politiques suivants :

    sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git

  2. Exécutez la commande suivante pour vérifier l' SELinux état de votre système :

    sestatus

    Exemple de sortie :

    SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

    Si vous trouvez que cette SELinux option est actuellement désactivée, procédez comme suit :

    1. Ouvrez le SELinux fichier en saisissant la commande suivante :

      sudo vi /etc/selinux/config

    2. Définissez le SELINUX paramètre sur permissive ouenforcing. Par exemple :

      SELINUX=enforcing

    3. Enregistrez le fichier et redémarrez le système pour appliquer les modifications.

      sudo reboot

  3. Assurez-vous que l' CloudWatch agent fonctionne en tant que systemd service. Cela est nécessaire pour l'utiliser dans un SELinux domaine confiné.

    sudo systemctl status amazon-cloudwatch-agent

    Si l'agent est correctement configuré, la sortie doit indiquer qu'il l'est active (running) et enabled au démarrage.

Configuration SELinux pour l'agent

Une fois que vous avez rempli les conditions préalables, vous pouvez configurer SELinux.

SELinux Pour configurer l' CloudWatch agent

  1. Clonez la SELinux politique de l' CloudWatch agent en saisissant la commande suivante :

    git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git

  2. Accédez au référentiel cloné, puis mettez à jour les autorisations du script en saisissant les commandes suivantes :

    cd amazon-cloudwatch-agent-selinux  
chmod +x amazon_cloudwatch_agent.sh

  3. sudoÀ utiliser pour exécuter le script d'installation de la SELinux politique en saisissant la commande suivante. Pendant l'exécution, le script vous invite à entrer y ou n à autoriser le redémarrage automatique. Ce redémarrage garantit que l'agent passe dans le SELinux domaine approprié.

    sudo ./amazon_cloudwatch_agent.sh

  4. Si l' CloudWatch agent n'a pas encore été redémarré, redémarrez-le pour vous assurer qu'il passe au bon SELinux domaine :

    sudo systemctl restart amazon-cloudwatch-agent

  5. Vérifiez que CloudWatch l'agent est en cours d'exécution dans le domaine confiné en saisissant la commande suivante :

    ps -efZ | grep amazon-cloudwatch-agent

    Si l'agent est correctement confiné, la sortie doit indiquer un domaine SELinux -confined au lieu deunconfined_service_t.

    Voici un exemple de sortie lorsque l'agent est correctement confiné.

    system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent

Une fois SELinux configuré, vous pouvez procéder à la configuration de l'agent pour collecter des métriques, des journaux et des traces. Pour de plus amples informations, veuillez consulter Création ou modification manuelle du fichier de configuration de CloudWatch l'agent.