Auf dieser Seite wird gezeigt, wie Sie Ihre Container durch Aktivierung von SELinux schützen können. SELinux wird für Red Hat Enterprise Linux (RHEL) unterstützt. Wenn auf Ihren Hostcomputern RHEL ausgeführt wird und Sie SELinux für Ihren Cluster aktivieren möchten, müssen Sie SELinux auf allen Hostcomputern aktivieren. Beginnend mit Google Distributed Cloud Release 1.9.0 können Sie SELinux vor oder nach Clustererstellung oder Clusterupgrades aktivieren oder deaktivieren. Wenn SELinux auf dem Host aktiviert ist, wird es für die Containerlaufzeit aktiviert.
Aktivierung von SELinux prüfen
SELinux ist unter RHEL standardmäßig aktiviert.
Führen Sie zur Überprüfung Folgendes aus:
getenforce
Der Befehl gibt entweder Enforcing, Permissive oder Disabled zurück. Wenn der Befehl Enforcing zurückgibt, können Sie mit dem Upgrade fortfahren oder die Cluster erstellen.
SELinux aktivieren
Wenn der Befehl getenforce Permissive zurückgibt, können Sie mit dem Befehl setenforce in den Modus Enforcing wechseln. Bei einem Wechsel zwischen Permissive- und Enforcing-Modus mit setenforce ist kein Systemneustart erforderlich. Wenn Sie jedoch möchten, dass die Änderungen auch nach einem Neustart beibehalten werden, müssen Sie die Datei /etc/selinux/config aktualisieren.
Führen Sie diesen Befehl aus, um in den
Enforcing-Modus zu wechseln:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Wenn SELinux Disabled ist, aktivieren Sie es zuerst im Permissive-Modus und starten Sie dann das System neu, um zu prüfen, ob das System erfolgreich gestartet wird. Wenn keine SELinux-Fehler vorhanden sind, können Sie sicher auf SELinux in den Modus Enforcing wechseln.
Optional: Aktivieren Sie SELinux im
Permissive-Modus:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo rebootWenn das System ohne SELinux-Fehler neu gestartet wird, können Sie den
Enforcing-Modus aktivieren:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Sobald SELinux im Enforcing-Modus aktiviert ist, wird SELinux für alle Prozesse auf dem Host aktiviert, einschließlich der Containerlaufzeit.