Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie den CloudWatch Agenten mit Linux mit erweiterter Sicherheit (SELinux) ein
Wenn auf Ihrem System Security-Enhanced Linux (SELinux) aktiviert ist, müssen Sie die entsprechenden Sicherheitsrichtlinien anwenden, um sicherzustellen, dass der Agent in einer begrenzten Domäne ausgeführt wird. CloudWatch
Voraussetzungen
Bevor Sie SELinux für den Agenten konfigurieren können, überprüfen Sie die folgenden Voraussetzungen:
Um die Voraussetzungen für die Verwendung des Agenten mit SELinux zu erfüllen CloudWatch
-
Falls noch nicht erfolgt, installieren Sie die folgenden SELinux-Richtlinienentwicklungspakete:
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git -
Führen Sie den folgenden Befehl aus, um den SELinux-Status Ihres Systems zu überprüfen:
sestatusBeispielausgabe:
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33Wenn Sie feststellen, dass SELinux derzeit deaktiviert ist, führen Sie die folgenden Schritte aus:
-
Öffnen Sie die SELinux-Datei, indem Sie den folgenden Befehl eingeben:
sudo vi /etc/selinux/config -
Setzen Sie den
SELINUX-Parameter aufpermissiveoderenforcing. Beispiel:SELINUX=enforcing -
Speichern Sie die Datei und starten Sie das System neu, um die Änderungen zu übernehmen.
sudo reboot
-
-
Stellen Sie sicher, dass der CloudWatch Agent als Dienst ausgeführt wird.
systemdDas ist erforderlich, um ihn innerhalb einer begrenzten SELinux-Domain zu verwenden.sudo systemctl status amazon-cloudwatch-agentWenn der Agent korrekt konfiguriert ist, sollte beim Start
active (running)undenabledausgegeben werden.
Konfigurieren von SELinux für den Agenten
Sobald die Voraussetzungen erfüllt sind, können Sie SELinux konfigurieren.
Um SELinux für den Agenten zu konfigurieren CloudWatch
-
Klonen Sie die SELinux-Richtlinie für den CloudWatch Agenten, indem Sie den folgenden Befehl eingeben:
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git -
Navigieren Sie zum geklonten Repository und aktualisieren Sie dann die Skriptberechtigungen, indem Sie die folgenden Befehle eingeben:
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.sh -
Verwenden Sie
sudozum Ausführen des Installationsskripts für die SELinux-Richtlinie, indem Sie den folgenden Befehl eingeben. Während der Ausführung fordert Sie das Skript auf,yoderneinzugeben, um den automatischen Neustart zu ermöglichen. Der Neustart stellt sicher, dass der Agent zur richtigen SELinux-Domain wechselt.sudo ./amazon_cloudwatch_agent.sh -
Wenn der CloudWatch Agent noch nicht neu gestartet wurde, starten Sie ihn neu, um sicherzustellen, dass er zur richtigen SELinux-Domäne wechselt:
sudo systemctl restart amazon-cloudwatch-agent -
Stellen Sie sicher, dass der CloudWatch Agent in der beschränkten Domäne ausgeführt wird, indem Sie den folgenden Befehl eingeben:
ps -efZ | grep amazon-cloudwatch-agentWenn der Agent korrekt eingeschränkt ist, sollte in der Ausgabe eine SELinux-confined Domäne anstelle von angegeben
unconfined_service_twerden.Nachstehend finden Sie ein Beispiel für eine Ausgabe, wenn der Agent korrekt eingeschränkt wurde.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Nachdem SELinux konfiguriert wurde, können Sie damit fortfahren, den Agenten so zu konfigurieren, dass er Metriken, Protokolle und Ablaufverfolgungen erfasst. Weitere Informationen finden Sie unter Erstellen oder bearbeiten Sie die CloudWatch Agenten-Konfigurationsdatei manuell.
