Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan CloudWatch agen dengan Linux yang ditingkatkan keamanan (SELinux)
Jika sistem Anda mengaktifkan Linux (SELinux) yang ditingkatkan keamanan, Anda harus menerapkan kebijakan keamanan yang sesuai untuk memastikan bahwa CloudWatch agen berjalan dalam domain terbatas.
## Prasyarat
**Sebelum Anda dapat mengonfigurasi SELinux untuk agen, periksa prasyarat berikut:**
**Untuk melengkapi prasyarat untuk menggunakan agen dengan SELinux CloudWatch**
1. Jika Anda belum melakukannya, instal paket pengembangan kebijakan SELinux berikut:
```
sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
```
1. Jalankan perintah berikut untuk memeriksa status SELinux sistem Anda:
```
sestatus
```
Contoh output:
```
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Jika Anda menemukan bahwa SELinux saat ini dinonaktifkan, lakukan hal berikut:
1. Buka file SELinux dengan memasukkan perintah berikut:
```
sudo vi /etc/selinux/config
```
1. Atur `SELINUX` parameter ke salah satu `permissive` atau`enforcing`. Contoh:
```
SELINUX=enforcing
```
1. Simpan file dan reboot sistem untuk menerapkan perubahan.
```
sudo reboot
```
1. Pastikan CloudWatch agen berjalan sebagai `systemd` layanan. Ini diperlukan untuk menggunakannya dalam domain SELinux terbatas.
```
sudo systemctl status amazon-cloudwatch-agent
```
Jika agen dikonfigurasi dengan benar, output harus menunjukkan bahwa itu `active (running)` dan `enabled` saat startup.
## Konfigurasikan SELinux untuk agen
Setelah Anda menyelesaikan prasyarat, Anda dapat mengkonfigurasi SELinux.
**Untuk mengkonfigurasi SELinux untuk agen CloudWatch**
1. Kloning kebijakan SELinux untuk CloudWatch agen dengan memasukkan perintah berikut:
```
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
```
1. Arahkan ke repositori kloning dan kemudian perbarui izin skrip dengan memasukkan perintah berikut:
```
cd amazon-cloudwatch-agent-selinux
chmod +x amazon_cloudwatch_agent.sh
```
1. Gunakan `sudo` untuk menjalankan skrip instalasi kebijakan SELinux dengan memasukkan perintah berikut. Selama eksekusi, skrip meminta Anda untuk masuk `y` atau `n` mengizinkan restart otomatis. Restart ini memastikan bahwa agen bertransisi ke domain SELinux yang benar.
```
sudo ./amazon_cloudwatch_agent.sh
```
1. Jika CloudWatch agen belum dimulai ulang, mulai ulang untuk memastikan bahwa ia beralih ke domain SELinux yang benar:
```
sudo systemctl restart amazon-cloudwatch-agent
```
1. Verifikasi bahwa CloudWatch Agen berjalan di domain terbatas dengan memasukkan perintah berikut:
```
ps -efZ | grep amazon-cloudwatch-agent
```
Jika agen dibatasi dengan benar, output harus menunjukkan SELinux-confined domain, bukan. `unconfined_service_t`
Berikut ini adalah contoh output ketika agen dibatasi dengan benar.
```
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
```
Setelah SELinux dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi agen untuk mengumpulkan metrik, log, dan jejak. Untuk informasi selengkapnya, lihat [Buat atau edit file konfigurasi CloudWatch agen secara manual](CloudWatch-Agent-Configuration-File-Details.md).