Configura l' CloudWatch agente con Linux con funzionalità di sicurezza avanzate () SELinux - Amazon CloudWatch
PrerequisitiConfigura SELinux per l'agente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l' CloudWatch agente con Linux con funzionalità di sicurezza avanzate () SELinux

Se sul sistema è abilitato Linux (SELinux) con funzionalità di sicurezza avanzata, è necessario applicare le politiche di sicurezza appropriate per garantire che l' CloudWatch agente funzioni in un dominio limitato.

Prerequisiti

Prima di eseguire la configurazione SELinux per l'agente, verificate i seguenti prerequisiti:

Per completare i prerequisiti per l'utilizzo dell' CloudWatch agente con SELinux

  1. Se non l'hai ancora fatto, installa i seguenti pacchetti di sviluppo delle SELinux politiche:

    sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git

  2. Eseguite il comando seguente per verificare SELinux lo stato del sistema:

    sestatus

    Output di esempio:

    SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

    Se ritieni che SELinux sia attualmente disabilitato, procedi come segue:

    1. Apri il SELinux file inserendo il seguente comando:

      sudo vi /etc/selinux/config

    2. Imposta il SELINUX parametro su permissive oenforcing. Per esempio:

      SELINUX=enforcing

    3. Salvate il file e riavviate il sistema per applicare le modifiche.

      sudo reboot

  3. Assicurati che l' CloudWatch agente sia in esecuzione come systemd servizio. Questo è necessario per utilizzarlo all'interno di un SELinux dominio limitato.

    sudo systemctl status amazon-cloudwatch-agent

    Se l'agente è configurato correttamente, l'output dovrebbe indicare che lo è active (running) e enabled all'avvio.

Configura SELinux per l'agente

Dopo aver completato i prerequisiti, è possibile eseguire la configurazione SELinux.

Per configurare SELinux per l'agente CloudWatch

  1. Clona la SELinux politica per l' CloudWatch agente inserendo il seguente comando:

    git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git

  2. Passa al repository clonato e quindi aggiorna le autorizzazioni dello script inserendo i seguenti comandi:

    cd amazon-cloudwatch-agent-selinux  
chmod +x amazon_cloudwatch_agent.sh

  3. Utilizzatelo sudo per eseguire lo script di installazione delle SELinux politiche immettendo il seguente comando. Durante l'esecuzione, lo script richiede di immettere y o consentire il n riavvio automatico. Questo riavvio assicura che l'agente passi al dominio corretto. SELinux 

    sudo ./amazon_cloudwatch_agent.sh

  4. Se l' CloudWatch agente non è stato ancora riavviato, riavvialo per assicurarti che passi al dominio corretto: SELinux 

    sudo systemctl restart amazon-cloudwatch-agent

  5. Verifica che CloudWatch l'agente sia in esecuzione nel dominio limitato immettendo il seguente comando:

    ps -efZ | grep amazon-cloudwatch-agent

    Se l'agente è confinato correttamente, l'output dovrebbe indicare un dominio SELinux -confined anziché. unconfined_service_t

    Di seguito è riportato un esempio di output quando l'agente è confinato correttamente.

    system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent

Dopo la configurazione, SELinux è possibile procedere alla configurazione dell'agente per la raccolta di metriche, log e tracce. Per ulteriori informazioni, consulta Crea o modifica manualmente il file di configurazione CloudWatch dell'agente.