Proteja os seus contentores com o SELinux

Esta página mostra-lhe como proteger os seus contentores ativando o SELinux. O SELinux é suportado para o Red Hat Enterprise Linux (RHEL). Se as suas máquinas anfitriãs estiverem a executar o RHEL e quiser ativar o SELinux para o seu cluster, tem de ativar o SELinux em todas as máquinas anfitriãs. A partir da versão 1.9.0 do Google Distributed Cloud, pode ativar ou desativar o SELinux antes ou depois da criação do cluster ou das atualizações do cluster. Quando o SELinux está ativado no anfitrião, está ativado para o tempo de execução do contentor.

Verifique se o SELinux está ativado

O SELinux está ativado no RHEL por predefinição.

  • Para validar, execute:

    getenforce

O comando devolve Enforcing, Permissive ou Disabled. Se o comando devolver Enforcing, pode avançar com a atualização ou a criação dos clusters.

Ative o SELinux

Se o comando getenforce devolver Permissive, pode mudar para o modo Enforcing com o comando setenforce. A alternância entre o modo Permissive e o modo Enforcing através de setenforce não requer o reinício do sistema. No entanto, se quiser que as alterações sejam persistentes nos reinícios, tem de atualizar o ficheiro /etc/selinux/config.

  • Para mudar para o modo Enforcing, execute o seguinte comando:

    sudo setenforce 1 # temporary
sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot

Se o SELinux estiver Disabled, para o ativar, recomendamos que o ative primeiro no modo Permissive e reinicie o sistema para verificar se o sistema arranca com êxito. Se não existirem erros do SELinux, pode mudar em segurança o SELinux para o modo Enforcing.

  1. Opcional: ative o SELinux no modo Permissive:

      sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config
  sudo reboot

  2. Se o sistema for reiniciado com êxito e sem erros do SELinux, pode ativar o modo Enforcing:

      sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config
  sudo reboot

Quando o SELinux está ativado no modo Enforcing, o SELinux é ativado para todos os processos no anfitrião, incluindo o tempo de execução do contentor.