Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l' CloudWatch agent avec un système Linux sécurisé (SELinux)
Si la sécurité renforcée par Linux (SELinux) est activée sur votre système, vous devez appliquer les politiques de sécurité appropriées pour garantir que l' CloudWatch agent s'exécute dans un domaine confiné.
Conditions préalables
Avant de configurer SELinux pour l’agent, vérifiez que les prérequis suivants sont remplis :
Pour remplir les conditions préalables à l'utilisation de l' CloudWatch agent avec SELinux
-
Si ce n’est pas déjà fait, installez les packages de développement SELinux suivants :
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git -
Exécutez la commande suivante pour vérifier l’état de SELinux sur votre système :
sestatusExemple de sortie :
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33Si vous constatez que SELinux est actuellement désactivé, procédez comme suit :
-
Ouvrez le fichier SELinux en saisissant la commande suivante :
sudo vi /etc/selinux/config -
Définissez le paramètre
SELINUXsurpermissiveouenforcing. Par exemple :SELINUX=enforcing -
Enregistrez le fichier et redémarrez le système pour appliquer les modifications.
sudo reboot
-
-
Assurez-vous que l' CloudWatch agent fonctionne en tant que
systemdservice. Cela est nécessaire pour qu’il puisse fonctionner dans un domaine SELinux confiné.sudo systemctl status amazon-cloudwatch-agentSi l’agent est correctement configuré, la sortie doit indiquer qu’il est
active (running)etenabledau démarrage.
Configuration de SELinux pour l’agent
Une fois les prérequis terminés, vous pouvez configurer SELinux.
Pour configurer SELinux pour l'agent CloudWatch
-
Clonez la politique SELinux pour l' CloudWatch agent en saisissant la commande suivante :
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git -
Accédez au référentiel cloné, puis mettez à jour les autorisations du script en saisissant les commandes suivantes :
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.sh -
Utilisez
sudopour exécuter le script d’installation de la politique SELinux en saisissant la commande suivante. Pendant l’exécution, le script vous invite à saisiryounpour autoriser le redémarrage automatique. Ce redémarrage garantit que l’agent passe dans le domaine SELinux correct.sudo ./amazon_cloudwatch_agent.sh -
Si l' CloudWatch agent n'a pas encore été redémarré, redémarrez-le pour vous assurer qu'il passe au domaine SELinux approprié :
sudo systemctl restart amazon-cloudwatch-agent -
Vérifiez que CloudWatch l'agent est en cours d'exécution dans le domaine confiné en saisissant la commande suivante :
ps -efZ | grep amazon-cloudwatch-agentSi l'agent est correctement confiné, la sortie doit indiquer un SELinux-confined domaine au lieu de
unconfined_service_t.Voici un exemple de sortie lorsque l’agent est correctement confiné.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Une fois SELinux configuré, vous pouvez procéder à la configuration de l’agent afin qu’il collecte les métriques, les journaux et les suivis. Pour de plus amples informations, veuillez consulter Création ou modification manuelle du fichier de configuration de CloudWatch l'agent.
