Halaman ini menunjukkan cara mengamankan penampung Anda dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin host Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin host. Mulai dari rilis Google Distributed Cloud 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Jika SELinux diaktifkan di host, SELinux akan diaktifkan untuk runtime penampung.
Periksa apakah SELinux diaktifkan
SELinux diaktifkan di RHEL secara default.
Untuk memverifikasi, jalankan:
getenforce
Perintah ini menampilkan Enforcing, Permissive, atau Disabled. Jika perintah
menampilkan Enforcing, Anda dapat melanjutkan upgrade atau membuat
cluster.
Mengaktifkan SELinux
Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke mode Enforcing
menggunakan perintah setenforce. Beralih antara mode Permissive dan
Enforcing menggunakan setenforce tidak memerlukan reboot sistem. Namun, jika
Anda ingin perubahan tetap ada setelah sistem di-reboot, Anda harus memperbarui
file /etc/selinux/config.
Untuk beralih ke mode
Enforcing, jalankan:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Jika SELinux Disabled, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu dalam mode Permissive dan mulai ulang sistem untuk memverifikasi bahwa sistem berhasil di-boot. Jika tidak ada error SELinux, Anda dapat mengalihkan SELinux ke mode Enforcing dengan aman.
Opsional: Aktifkan SELinux dalam mode
Permissive:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo rebootJika sistem berhasil di-reboot tanpa error SELinux, Anda dapat mengaktifkan mode
Enforcing:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Setelah SELinux diaktifkan dalam mode Enforcing, SELinux diaktifkan untuk semua proses di host, termasuk runtime container.