Nesta página, mostramos como proteger seus contêineres ativando o SELinux. O SELinux tem suporte para o Red Hat Enterprise Linux (RHEL). Se as máquinas host estiverem executando o RHEL e você quiser ativar o SELinux no cluster, ative o SELinux em todas as suas máquinas host. A partir da versão 1.9.0 do Google Distributed Cloud, é possível ativar ou desativar o SELinux antes ou depois da criação do cluster ou dos upgrades dele. Quando o SELinux está ativado no host, ele é ativado para o ambiente de execução do contêiner.
Verificar se o SELinux está ativado
O SELinux é ativado no RHEL por padrão.
Para verificar isso, execute:
getenforce
O comando retorna Enforcing, Permissive ou Disabled. Se o comando retornar Enforcing, será possível continuar com o upgrade ou a criação dos clusters.
Ativar o SELinux
Se o comando getenforce retornar Permissive, use o comando setenforce para alternar para o modo Enforcing. Alternar entre os modos Permissive e Enforcing usando setenforce não requer uma reinicialização do sistema. No entanto, se
você quiser que as alterações sejam persistentes nas reinicializações, será necessário atualizar o
arquivo /etc/selinux/config.
Para alternar para o modo
Enforcing, execute:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Se o SELinux for Disabled, para ativá-lo, recomendamos ativá-lo primeiro no modo Permissive e reinicializar o sistema para verificar se o sistema foi inicializado. Se não houver erros do SELinux, você poderá alternar com segurança o modo SELinux
para Enforcing.
Opcional: ative o SELinux no modo
Permissive:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo rebootSe o sistema for reinicializado sem erros do SELinux, ative o modo
Enforcing:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Depois que o SELinux é ativado no modo Enforcing, ele é ativado para todos
os processos no host, incluindo o ambiente de execução do contêiner.