Security-Enhanced Linux (SELinux) で CloudWatch エージェントをセットアップする

まだインストールしていない場合は、次の SELinux ポリシー開発パッケージをインストールします。

sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git

次のコマンドを実行して、システムの SELinux のステータスを確認します。

sestatus

出力例:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

SELinux が現在無効になっている場合は、次の操作を行います。

1. 次のコマンドを入力して SELinux ファイルを開きます。

   sudo vi /etc/selinux/config

2. SELINUX パラメータを permissive または enforcing に設定します。例:

   SELINUX=enforcing

3. ファイルを保存し、システムを再起動して変更を適用します。

   sudo reboot

CloudWatch エージェントが systemd サービスとして実行されていることを確認します。これは、制限のある SELinux ドメイン内での使用に必要になります。

sudo systemctl status amazon-cloudwatch-agent

エージェントが正しく設定されている場合、起動時に出力でエージェントが active (running) と enabled であることが示されます。

次のコマンドを入力して、CloudWatch エージェントの SELinux ポリシーを複製します。

git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git

複製したリポジトリに移動し、次のコマンドを入力してスクリプトのアクセス許可を更新します。

cd amazon-cloudwatch-agent-selinux  
chmod +x amazon_cloudwatch_agent.sh

sudo を使用し、次のコマンドを入力して SELinux ポリシーのインストールスクリプトを実行します。実行中、スクリプトは y または n を入力して自動再起動を許可するように求めます。この再起動によって、エージェントが正しい SELinux ドメインに移行されます。

sudo ./amazon_cloudwatch_agent.sh

CloudWatch エージェントをまだ再起動していない場合は、再起動して正しい SELinux ドメインに移行されることを確認します。

sudo systemctl restart amazon-cloudwatch-agent

次のコマンドを入力して、CloudWatch エージェントが制限されているドメイン内で実行中であることを確認します。

ps -efZ | grep amazon-cloudwatch-agent

エージェントが正しく制限されている場合、出力は unconfined_service_t ではなく SELinux で制限されているドメインを示します。

以下は、エージェントが正しく制限されている場合の出力の例です。

system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent