Mengamankan penampung menggunakan SELinux

Halaman ini menunjukkan cara mengamankan penampung dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin host Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin host. Mulai rilis Google Distributed Cloud 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Jika diaktifkan di host, SELinux akan diaktifkan untuk runtime penampung.

Memeriksa apakah SELinux diaktifkan

SELinux diaktifkan di RHEL secara default.

• Untuk memverifikasi, jalankan:

  getenforce
  

Perintah ini menampilkan Enforcing, Permissive, atau Disabled. Jika perintah menampilkan Enforcing, Anda dapat melanjutkan upgrade atau membuat cluster.

Mengaktifkan SELinux

Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke mode Enforcing menggunakan perintah setenforce. Beralih antara mode Permissive dan Enforcing menggunakan setenforce tidak memerlukan mulai ulang sistem. Namun, jika ingin perubahan tetap ada setelah sistem di-reboot, Anda harus mengupdate file /etc/selinux/config.

• Untuk beralih ke mode Enforcing, jalankan:

  sudo setenforce 1 # temporary
  sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
  

Jika SELinux adalah Disabled, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu dalam mode Permissive, lalu mulai ulang sistem untuk memverifikasi bahwa sistem berhasil di-booting. Jika tidak ada error SELinux, Anda dapat dengan aman mengalihkan SELinux ke mode Enforcing.

1. Opsional: Aktifkan SELinux dalam mode Permissive:

     sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config
     sudo reboot
   

2. Jika sistem berhasil dimulai ulang tanpa error SELinux, Anda dapat mengaktifkan mode Enforcing:

     sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config
     sudo reboot
   

Setelah SELinux diaktifkan dalam mode Enforcing, SELinux akan diaktifkan untuk semua proses di host, termasuk runtime penampung.