Halaman ini menunjukkan cara mengamankan container dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin host Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin host. Mulai dari Google Distributed Cloud versi 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Jika SELinux diaktifkan di host, SELinux akan diaktifkan untuk runtime container.
Memeriksa apakah SELinux diaktifkan
SELinux diaktifkan di RHEL secara default.
Untuk memverifikasi, jalankan:
getenforce
Perintah ini akan menampilkan Enforcing, Permissive, atau Disabled. Jika perintah menampilkan Enforcing, Anda dapat melanjutkan upgrade atau membuat cluster.
Mengaktifkan SELinux
Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke mode Enforcing menggunakan perintah setenforce. Beralih antara mode Permissive dan Enforcing menggunakan setenforce tidak memerlukan reboot sistem. Namun, jika Anda ingin perubahan tetap ada setelah reboot, Anda harus mengupdate file /etc/selinux/config.
Untuk beralih ke mode
Enforcing, jalankan:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Jika SELinux Disabled, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu dalam mode Permissive, lalu reboot sistem untuk memverifikasi bahwa sistem berhasil di-boot. Jika tidak ada error SELinux, Anda dapat mengalihkan SELinux ke mode Enforcing dengan aman.
Opsional: Aktifkan SELinux dalam mode
Permissive:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo rebootJika sistem berhasil di-reboot tanpa error SELinux, Anda dapat mengaktifkan
Enforcingmode:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Setelah SELinux diaktifkan dalam mode Enforcing, SELinux akan diaktifkan untuk semua proses di host, termasuk runtime container.