Halaman ini menunjukkan cara mengamankan penampung dengan mengaktifkan SELinux. SELinux didukung untuk Red Hat Enterprise Linux (RHEL). Jika mesin host Anda menjalankan RHEL dan Anda ingin mengaktifkan SELinux untuk cluster, Anda harus mengaktifkan SELinux di semua mesin host. Mulai rilis Google Distributed Cloud 1.9.0, Anda dapat mengaktifkan atau menonaktifkan SELinux sebelum atau setelah pembuatan cluster atau upgrade cluster. Jika diaktifkan di host, SELinux akan diaktifkan untuk runtime penampung.
Memeriksa apakah SELinux diaktifkan
SELinux diaktifkan di RHEL secara default.
Untuk memverifikasi, jalankan:
getenforce
Perintah ini menampilkan Enforcing, Permissive, atau Disabled. Jika perintah tersebut menampilkan Enforcing, Anda dapat melanjutkan upgrade atau membuat cluster.
Mengaktifkan SELinux
Jika perintah getenforce menampilkan Permissive, Anda dapat beralih ke mode Enforcing
menggunakan perintah setenforce. Beralih antara mode Permissive dan
Enforcing menggunakan setenforce tidak memerlukan mulai ulang sistem. Namun, jika
ingin perubahan tetap ada setelah sistem di-reboot, Anda harus mengupdate
file /etc/selinux/config.
Untuk beralih ke mode
Enforcing, jalankan:sudo setenforce 1 # temporary sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot
Jika SELinux adalah Disabled, untuk mengaktifkannya, sebaiknya aktifkan terlebih dahulu dalam
mode Permissive dan mulai ulang sistem untuk memverifikasi bahwa sistem berhasil
di-booting. Jika tidak ada error SELinux, Anda dapat dengan aman mengalihkan SELinux
ke mode Enforcing.
Opsional: Aktifkan SELinux dalam mode
Permissive:sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config sudo rebootJika sistem berhasil dimulai ulang tanpa error SELinux, Anda dapat mengaktifkan mode
Enforcing:sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config sudo reboot
Setelah SELinux diaktifkan dalam mode Enforcing, SELinux akan diaktifkan untuk semua
proses di host, termasuk runtime penampung.