Mengamankan container Anda menggunakan SELinux

Halaman ini menunjukkan cara mengamankan container dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin {i>host<i} Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin {i>host<i} Anda. Dimulai dengan rilis Google Distributed Cloud 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Ketika SELinux diaktifkan pada {i>host<i}, itu diaktifkan untuk dan runtime container.

Periksa apakah SELinux sudah diaktifkan

SELinux diaktifkan di RHEL secara default.

  • Untuk memverifikasi, jalankan:

    getenforce
    

Perintah tersebut akan menampilkan Enforcing, Permissive, atau Disabled. Jika menampilkan Enforcing, lalu Anda dapat melanjutkan upgrade atau membuat ke cluster Anda.

Aktifkan SELinux

Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke Enforcing menggunakan perintah setenforce. Beralih antara Permissive dan Mode Enforcing yang menggunakan setenforce tidak memerlukan reboot sistem. Namun, jika Anda ingin perubahan tersebut persisten di seluruh {i>reboot<i}, Anda harus memperbarui File /etc/selinux/config.

  • Untuk beralih ke mode Enforcing, jalankan:

    sudo setenforce 1 # temporary
    sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
    

Jika SELinux adalah Disabled, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu di Mode Permissive terlebih dahulu, lalu mulai ulang sistem untuk memastikan bahwa sistem telah melakukan booting memulai proyek. Jika tidak ada error SELinux, Anda dapat mengganti SELinux dengan aman ke mode Enforcing.

  1. Opsional: Aktifkan SELinux dalam mode Permissive:

      sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config
      sudo reboot
    
  2. Jika sistem berhasil dimulai ulang tanpa error SELinux, Anda dapat mengaktifkan mode Enforcing:

      sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config
      sudo reboot
    

Setelah SELinux diaktifkan dalam mode Enforcing, SELinux diaktifkan untuk semua proses di host, termasuk runtime container.