Halaman ini menunjukkan cara mengamankan container dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin {i>host<i} Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin {i>host<i} Anda. Dimulai dengan rilis Google Distributed Cloud 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Ketika SELinux diaktifkan pada {i>host<i}, itu diaktifkan untuk dan runtime container.
Periksa apakah SELinux sudah diaktifkan
SELinux diaktifkan di RHEL secara default.
Untuk memverifikasi, jalankan:
getenforce
Perintah tersebut akan menampilkan Enforcing
, Permissive
, atau Disabled
. Jika
menampilkan Enforcing
, lalu Anda dapat melanjutkan upgrade atau membuat
ke cluster Anda.
Aktifkan SELinux
Jika perintah getenforce
menampilkan Permissive
, Anda dapat beralih ke Enforcing
menggunakan perintah setenforce
. Beralih antara Permissive
dan
Mode Enforcing
yang menggunakan setenforce
tidak memerlukan reboot sistem. Namun, jika
Anda ingin perubahan tersebut persisten di seluruh {i>reboot<i}, Anda harus memperbarui
File /etc/selinux/config
.
Untuk beralih ke mode
Enforcing
, jalankan:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Jika SELinux adalah Disabled
, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu di
Mode Permissive
terlebih dahulu, lalu mulai ulang sistem untuk memastikan bahwa sistem telah melakukan booting
memulai proyek. Jika tidak ada error SELinux, Anda dapat mengganti SELinux dengan aman
ke mode Enforcing
.
Opsional: Aktifkan SELinux dalam mode
Permissive
:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo reboot
Jika sistem berhasil dimulai ulang tanpa error SELinux, Anda dapat mengaktifkan mode
Enforcing
:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Setelah SELinux diaktifkan dalam mode Enforcing
, SELinux diaktifkan untuk semua
proses di host, termasuk
runtime container.