Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura l' CloudWatch agente con Linux (SELinux) con funzionalità di sicurezza avanzate
Se sul sistema è abilitato il sistema Security-Enhanced Linux (SELinux), è necessario applicare le politiche di sicurezza appropriate per garantire che l'agente funzioni in un dominio limitato. CloudWatch
Prerequisiti
Prima di poter configurare SELinux per l'agente, verifica i seguenti prerequisiti:
Per completare i prerequisiti per l'utilizzo dell'agente con SELinux CloudWatch
-
Se questa verifica non è ancora stata eseguita, installa i seguenti pacchetti di sviluppo di policy SELinux:
sudo yum update sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git -
Esegui il comando seguente per verificare lo stato SELinux del tuo sistema:
sestatusOutput di esempio:
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33Se rilevi che SELinux è attualmente disabilitato, procedi come indicato di seguito:
-
Apri il file SELinux immettendo il seguente comando:
sudo vi /etc/selinux/config -
Imposta il parametro
SELINUXsupermissiveoenforcing. Esempio:SELINUX=enforcing -
Salva il file e riavvia il sistema per applicare le modifiche.
sudo reboot
-
-
Assicuratevi che l' CloudWatch agente sia in esecuzione come servizio.
systemdQuesto è necessario per utilizzarlo all'interno di un dominio SELinux confinato.sudo systemctl status amazon-cloudwatch-agentSe l'agente è configurato correttamente, l'output dovrebbe indicare che è
active (running)eenabledall'avvio.
Configurazione di SELinux per l'agente
Dopo aver sodisfatto tutti i prerequisiti, puoi configurare SELinux.
Per configurare SELinux per l'agente CloudWatch
-
Clona la policy SELinux per l' CloudWatch agente inserendo il seguente comando:
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git -
Passa al repository clonato e quindi aggiorna le autorizzazioni dello script immettendo i seguenti comandi:
cd amazon-cloudwatch-agent-selinux chmod +x amazon_cloudwatch_agent.sh -
Utilizza
sudoper eseguire lo script di installazione della policy SELinux immettendo il seguente comando. Durante l'esecuzione, lo script richiede di inserireyonper consentire il riavvio automatico. Questo riavvio assicura che l'agente passi al dominio SELinux corretto.sudo ./amazon_cloudwatch_agent.sh -
Se l' CloudWatch agente non è stato ancora riavviato, riavvialo per assicurarti che passi al dominio SELinux corretto:
sudo systemctl restart amazon-cloudwatch-agent -
Verifica che CloudWatch l'agente sia in esecuzione nel dominio limitato immettendo il seguente comando:
ps -efZ | grep amazon-cloudwatch-agentSe l'agente è confinato correttamente, l'output dovrebbe indicare un SELinux-confined dominio anziché.
unconfined_service_tDi seguito è riportato un esempio di output quando l'agente è confinato correttamente.
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
Dopo la configurazione di SELinux, è possibile procedere alla configurazione dell'agente per raccogliere metriche, log e tracce. Per ulteriori informazioni, consulta Crea o modifica manualmente il file di configurazione CloudWatch dell'agente.
