Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura l' CloudWatch agente con Linux con funzionalità di sicurezza avanzate () SELinux
Se sul sistema è abilitato Linux (SELinux) con funzionalità di sicurezza avanzata, è necessario applicare le politiche di sicurezza appropriate per garantire che l' CloudWatch agente funzioni in un dominio limitato.
## Prerequisiti
**Prima di eseguire la configurazione SELinux per l'agente, verificate i seguenti prerequisiti:**
**Per completare i prerequisiti per l'utilizzo dell' CloudWatch agente con SELinux**
1. Se non l'hai ancora fatto, installa i seguenti pacchetti di sviluppo delle SELinux politiche:
```
sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
```
1. Eseguite il comando seguente per verificare SELinux lo stato del sistema:
```
sestatus
```
Output di esempio:
```
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Se ritieni che SELinux sia attualmente disabilitato, procedi come segue:
1. Apri il SELinux file inserendo il seguente comando:
```
sudo vi /etc/selinux/config
```
1. Imposta il parametro `SELINUX` su `permissive` o `enforcing`. Esempio:
```
SELINUX=enforcing
```
1. Salva il file e riavvia il sistema per applicare le modifiche.
```
sudo reboot
```
1. Assicuratevi che l' CloudWatch agente sia in esecuzione come `systemd` servizio. Questo è necessario per utilizzarlo all'interno di un SELinux dominio limitato.
```
sudo systemctl status amazon-cloudwatch-agent
```
Se l'agente è configurato correttamente, l'output dovrebbe indicare che è `active (running)` e `enabled` all'avvio.
## Configura SELinux per l'agente
Dopo aver completato i prerequisiti, è possibile eseguire la configurazione SELinux.
**Per configurare SELinux per l'agente CloudWatch**
1. Clona la SELinux politica per l' CloudWatch agente inserendo il seguente comando:
```
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
```
1. Passa al repository clonato e quindi aggiorna le autorizzazioni dello script immettendo i seguenti comandi:
```
cd amazon-cloudwatch-agent-selinux
chmod +x amazon_cloudwatch_agent.sh
```
1. Utilizzare `sudo` per eseguire lo script di installazione della SELinux politica immettendo il seguente comando. Durante l'esecuzione, lo script richiede di inserire `y` o `n` per consentire il riavvio automatico. Questo riavvio assicura che l'agente passi al SELinux dominio corretto.
```
sudo ./amazon_cloudwatch_agent.sh
```
1. Se l' CloudWatch agente non è stato ancora riavviato, riavvialo per assicurarti che passi al dominio corretto: SELinux
```
sudo systemctl restart amazon-cloudwatch-agent
```
1. Verifica che CloudWatch l'agente sia in esecuzione nel dominio limitato immettendo il seguente comando:
```
ps -efZ | grep amazon-cloudwatch-agent
```
Se l'agente è confinato correttamente, l'output dovrebbe indicare un dominio SELinux -confined anziché. `unconfined_service_t`
Di seguito è riportato un esempio di output quando l'agente è confinato correttamente.
```
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
```
Dopo la configurazione, SELinux è possibile procedere alla configurazione dell'agente per raccogliere metriche, log e tracce. Per ulteriori informazioni, consulta [Crea o modifica manualmente il file di configurazione CloudWatch dell'agente](CloudWatch-Agent-Configuration-File-Details.md).