Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura l' CloudWatch agente con Linux (SELinux) con funzionalità di sicurezza avanzate
Se sul sistema è abilitato il sistema Security-Enhanced Linux (SELinux), è necessario applicare le politiche di sicurezza appropriate per garantire che l'agente funzioni in un dominio limitato. CloudWatch
## Prerequisiti
Prima di poter configurare SELinux per l'agente, verifica i seguenti **prerequisiti**:
**Per completare i prerequisiti per l'utilizzo dell'agente con SELinux CloudWatch**
1. Se questa verifica non è ancora stata eseguita, installa i seguenti pacchetti di sviluppo di policy SELinux:
```
sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
```
1. Esegui il comando seguente per verificare lo stato SELinux del tuo sistema:
```
sestatus
```
Output di esempio:
```
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Se rilevi che SELinux è attualmente disabilitato, procedi come indicato di seguito:
1. Apri il file SELinux immettendo il seguente comando:
```
sudo vi /etc/selinux/config
```
1. Imposta il parametro `SELINUX` su `permissive` o `enforcing`. Esempio:
```
SELINUX=enforcing
```
1. Salva il file e riavvia il sistema per applicare le modifiche.
```
sudo reboot
```
1. Assicuratevi che l' CloudWatch agente sia in esecuzione come servizio. `systemd` Questo è necessario per utilizzarlo all'interno di un dominio SELinux confinato.
```
sudo systemctl status amazon-cloudwatch-agent
```
Se l'agente è configurato correttamente, l'output dovrebbe indicare che è `active (running)` e `enabled` all'avvio.
## Configurazione di SELinux per l'agente
Dopo aver sodisfatto tutti i prerequisiti, puoi configurare SELinux.
**Per configurare SELinux per l'agente CloudWatch**
1. Clona la policy SELinux per l' CloudWatch agente inserendo il seguente comando:
```
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
```
1. Passa al repository clonato e quindi aggiorna le autorizzazioni dello script immettendo i seguenti comandi:
```
cd amazon-cloudwatch-agent-selinux
chmod +x amazon_cloudwatch_agent.sh
```
1. Utilizza `sudo` per eseguire lo script di installazione della policy SELinux immettendo il seguente comando. Durante l'esecuzione, lo script richiede di inserire `y` o `n` per consentire il riavvio automatico. Questo riavvio assicura che l'agente passi al dominio SELinux corretto.
```
sudo ./amazon_cloudwatch_agent.sh
```
1. Se l' CloudWatch agente non è stato ancora riavviato, riavvialo per assicurarti che passi al dominio SELinux corretto:
```
sudo systemctl restart amazon-cloudwatch-agent
```
1. Verifica che CloudWatch l'agente sia in esecuzione nel dominio limitato immettendo il seguente comando:
```
ps -efZ | grep amazon-cloudwatch-agent
```
Se l'agente è confinato correttamente, l'output dovrebbe indicare un SELinux-confined dominio anziché. `unconfined_service_t`
Di seguito è riportato un esempio di output quando l'agente è confinato correttamente.
```
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
```
Dopo la configurazione di SELinux, è possibile procedere alla configurazione dell'agente per raccogliere metriche, log e tracce. Per ulteriori informazioni, consulta [Crea o modifica manualmente il file di configurazione CloudWatch dell'agente](CloudWatch-Agent-Configuration-File-Details.md).