Halaman ini menunjukkan cara mengamankan penampung dengan mengaktifkan SELinux. SELinux didukung untuk RHEL dan CentOS. Jika mesin host Anda menjalankan RHEL atau CentOS dan ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin host. Mulai dari GDCV untuk rilis Bare Metal 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Jika diaktifkan di host, SELinux diaktifkan untuk runtime container.
Periksa apakah SELinux diaktifkan
SELinux diaktifkan pada RHEL dan CentOS secara default. Untuk memverifikasi, jalankan:
$ getenforce
Perintah akan menampilkan Enforcing, Permissive, atau Disabled. Jika perintah tersebut menampilkan Enforcing, Anda dapat melanjutkan dengan mengupgrade atau membuat cluster.
Aktifkan SELinux
Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke mode Enforcing
menggunakan perintah setenforce. Beralih antara mode Permissive dan
Enforcing menggunakan setenforce tidak memerlukan mulai ulang sistem. Namun, jika
ingin perubahan tetap ada meskipun perangkat dimulai ulang, Anda harus mengupdate
file /etc/selinux/config.
Untuk beralih ke mode Enforcing, jalankan:
$ sudo setenforce 1 # temporary
$ sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Jika SELinux adalah Disabled, sebaiknya aktifkan dalam
mode Permissive terlebih dahulu, lalu mulai ulang sistem untuk memverifikasi bahwa sistem berhasil
melakukan booting. Jika tidak ada error SELinux, Anda dapat dengan aman mengalihkan mode SELinux
ke Enforcing.
Opsional: Aktifkan SELinux dalam mode
Permissive:$ sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config $ sudo rebootJika sistem berhasil dimulai ulang tanpa error SELinux, Anda dapat mengaktifkan mode
Enforcing:$ sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config $ sudo reboot
Setelah SELinux diaktifkan dalam mode Enforcing, SELinux akan diaktifkan untuk semua
proses di host, termasuk runtime container.