Configure o agente do CloudWatch com o Linux com segurança aprimorada (SELinux)
Se seu sistema tiver o Linux com segurança aprimorada (SELinux) habilitado, você deverá aplicar as políticas de segurança apropriadas para garantir que o agente do CloudWatch seja executado em um domínio confinado.
Pré-requisitos
Antes de configurar o SELinux para o agente, verifique os seguintes pré-requisitos:
Para concluir os pré-requisitos para usar o agente do CloudWatch com o SELinux
Caso você ainda não tenha feito isso, instale os seguintes pacotes de desenvolvimento de políticas do SELinux:
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
Execute o seguinte comando para verificar o status do SELinux do sistema:
sestatus
Resultado do exemplo:
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
Se você descobrir que o SELinux está desabilitado no momento, faça o seguinte:
Abra o arquivo do SELinux ao inserir o seguinte comando:
sudo vi /etc/selinux/config
Defina o parâmetro
SELINUX
comopermissive
ouenforcing
. Por exemplo:SELINUX=enforcing
Salve o arquivo e reinicie o sistema para aplicar as alterações.
sudo reboot
Certifique-se de que o agente do CloudWatch esteja em execução como um serviço
systemd
. Isso é necessário para uso em um domínio SELinux confinado.sudo systemctl status amazon-cloudwatch-agent
Se o agente estiver configurado corretamente, a saída deverá indicar que ele está
active (running)
eenabled
na inicialização.
Configurar o SELinux para o agente
Depois que concluir os pré-requisitos, você poderá configurar o SELinux.
Para configurar o SELinux para o agente do CloudWatch
Clone a política do SELinux para o agente do CloudWatch ao inserir o seguinte comando:
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
Navegue até o repositório clonado e, em seguida, atualize as permissões do script ao inserir os seguintes comandos:
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.sh
Use
sudo
para executar o script de instalação da política do SELinux ao inserir o comando a seguir. Durante a execução, o script solicita que você insiray
oun
para permitir a reinicialização automática. Essa reinicialização garante que o agente faça a transição para o domínio SELinux correto.sudo ./amazon_cloudwatch_agent.sh
Se o agente do CloudWatch ainda não tiver sido reiniciado, reinicie-o para garantir que ele faça a transição para o domínio SELinux correto:
sudo systemctl restart amazon-cloudwatch-agent
Verifique se o agente do CloudWatch está em execução no domínio confinado ao inserir o seguinte comando:
ps -efZ | grep amazon-cloudwatch-agent
Se o agente estiver confinado corretamente, a saída deverá indicar um domínio SELinux confinado em vez de
unconfined_service_t
.A seguir, é mostrado um exemplo de saída quando o agente está confinado corretamente.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Depois que o SELinux for configurado, você poderá continuar com a configuração do agente para coletar métricas, logs e rastreamentos. Para obter mais informações, consulte Criar ou editar manualmente o arquivo de configuração do atendente do CloudWatch.