View a markdown version of this page

Siapkan CloudWatch agen dengan Linux yang ditingkatkan keamanan (SELinux) - Amazon CloudWatch
PrasyaratKonfigurasikan SELinux untuk agen

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan CloudWatch agen dengan Linux yang ditingkatkan keamanan (SELinux)

Jika sistem Anda mengaktifkan Linux (SELinux) yang ditingkatkan keamanan, Anda harus menerapkan kebijakan keamanan yang sesuai untuk memastikan bahwa CloudWatch agen berjalan dalam domain terbatas.

Prasyarat

Sebelum Anda dapat mengonfigurasi SELinux untuk agen, periksa prasyarat berikut:

Untuk melengkapi prasyarat untuk menggunakan agen dengan SELinux CloudWatch

  1. Jika Anda belum melakukannya, instal paket pengembangan kebijakan SELinux berikut:

    sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git

  2. Jalankan perintah berikut untuk memeriksa status SELinux sistem Anda:

    sestatus

    Contoh output:

    SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

    Jika Anda menemukan bahwa SELinux saat ini dinonaktifkan, lakukan hal berikut:

    1. Buka file SELinux dengan memasukkan perintah berikut:

      sudo vi /etc/selinux/config

    2. Atur SELINUX parameter ke salah satu permissive atauenforcing. Contoh:

      SELINUX=enforcing

    3. Simpan file dan reboot sistem untuk menerapkan perubahan.

      sudo reboot

  3. Pastikan CloudWatch agen berjalan sebagai systemd layanan. Ini diperlukan untuk menggunakannya dalam domain SELinux terbatas.

    sudo systemctl status amazon-cloudwatch-agent

    Jika agen dikonfigurasi dengan benar, output harus menunjukkan bahwa itu active (running) dan enabled saat startup.

Konfigurasikan SELinux untuk agen

Setelah Anda menyelesaikan prasyarat, Anda dapat mengkonfigurasi SELinux.

Untuk mengkonfigurasi SELinux untuk agen CloudWatch

  1. Kloning kebijakan SELinux untuk CloudWatch agen dengan memasukkan perintah berikut:

    git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git

  2. Arahkan ke repositori kloning dan kemudian perbarui izin skrip dengan memasukkan perintah berikut:

    cd amazon-cloudwatch-agent-selinux  
chmod +x amazon_cloudwatch_agent.sh

  3. Gunakan sudo untuk menjalankan skrip instalasi kebijakan SELinux dengan memasukkan perintah berikut. Selama eksekusi, skrip meminta Anda untuk masuk y atau n mengizinkan restart otomatis. Restart ini memastikan bahwa agen bertransisi ke domain SELinux yang benar.

    sudo ./amazon_cloudwatch_agent.sh

  4. Jika CloudWatch agen belum dimulai ulang, mulai ulang untuk memastikan bahwa ia beralih ke domain SELinux yang benar:

    sudo systemctl restart amazon-cloudwatch-agent

  5. Verifikasi bahwa CloudWatch Agen berjalan di domain terbatas dengan memasukkan perintah berikut:

    ps -efZ | grep amazon-cloudwatch-agent

    Jika agen dibatasi dengan benar, output harus menunjukkan SELinux-confined domain, bukan. unconfined_service_t

    Berikut ini adalah contoh output ketika agen dibatasi dengan benar.

    system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent

Setelah SELinux dikonfigurasi, Anda dapat melanjutkan untuk mengonfigurasi agen untuk mengumpulkan metrik, log, dan jejak. Untuk informasi selengkapnya, lihat Buat atau edit file konfigurasi CloudWatch agen secara manual.