Siapkan CloudWatch agen dengan Linux yang disempurnakan keamanan () SELinux - Amazon CloudWatch
PrasyaratKonfigurasikan SELinux untuk agen

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan CloudWatch agen dengan Linux yang disempurnakan keamanan () SELinux

Jika sistem Anda mengaktifkan Linux (SELinux) yang disempurnakan keamanan, Anda harus menerapkan kebijakan keamanan yang sesuai untuk memastikan bahwa CloudWatch agen berjalan dalam domain terbatas.

Prasyarat

Sebelum Anda dapat mengkonfigurasi SELinux untuk agen, periksa prasyarat berikut:

Untuk melengkapi prasyarat untuk menggunakan agen dengan CloudWatch SELinux

  1. Jika Anda belum melakukannya, instal paket pengembangan SELinux kebijakan berikut:

    sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git

  2. Jalankan perintah berikut untuk memeriksa SELinux status sistem Anda:

    sestatus

    Contoh output:

    SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

    Jika Anda menemukan bahwa saat SELinux ini dinonaktifkan, lakukan hal berikut:

    1. Buka SELinux file dengan memasukkan perintah berikut:

      sudo vi /etc/selinux/config

    2. Atur SELINUX parameter ke salah satu permissive atauenforcing. Misalnya:

      SELINUX=enforcing

    3. Simpan file dan reboot sistem untuk menerapkan perubahan.

      sudo reboot

  3. Pastikan CloudWatch agen berjalan sebagai systemd layanan. Ini diperlukan untuk menggunakannya dalam domain terbatas. SELinux 

    sudo systemctl status amazon-cloudwatch-agent

    Jika agen dikonfigurasi dengan benar, output harus menunjukkan bahwa itu active (running) dan enabled saat startup.

Konfigurasikan SELinux untuk agen

Setelah Anda menyelesaikan prasyarat, Anda dapat mengkonfigurasi. SELinux

Untuk mengkonfigurasi SELinux untuk CloudWatch agen

  1. Kloning SELinux kebijakan untuk CloudWatch agen dengan memasukkan perintah berikut:

    git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git

  2. Arahkan ke repositori kloning dan kemudian perbarui izin skrip dengan memasukkan perintah berikut:

    cd amazon-cloudwatch-agent-selinux  
chmod +x amazon_cloudwatch_agent.sh

  3. Gunakan sudo untuk menjalankan skrip instalasi SELinux kebijakan dengan memasukkan perintah berikut. Selama eksekusi, skrip meminta Anda untuk masuk y atau n mengizinkan restart otomatis. Restart ini memastikan bahwa agen bertransisi ke SELinux domain yang benar.

    sudo ./amazon_cloudwatch_agent.sh

  4. Jika CloudWatch agen belum dimulai ulang, mulai ulang untuk memastikan bahwa ia bertransisi ke domain yang benar: SELinux 

    sudo systemctl restart amazon-cloudwatch-agent

  5. Verifikasi bahwa CloudWatch Agen berjalan di domain terbatas dengan memasukkan perintah berikut:

    ps -efZ | grep amazon-cloudwatch-agent

    Jika agen dibatasi dengan benar, output harus menunjukkan domain SELinux -confined alih-alih. unconfined_service_t

    Berikut ini adalah contoh output ketika agen dibatasi dengan benar.

    system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent

Setelah SELinux dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi agen untuk mengumpulkan metrik, log, dan jejak. Untuk informasi selengkapnya, lihat Buat atau edit file konfigurasi CloudWatch agen secara manual.