Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite wird gezeigt, wie Sie Ihre Container durch Aktivierung von SELinux schützen können. SELinux wird für Red Hat Enterprise Linux (RHEL) unterstützt. Wenn auf Ihren Hostcomputern RHEL ausgeführt wird und Sie SELinux für Ihren Cluster aktivieren möchten, müssen Sie SELinux auf allen Hostcomputern aktivieren. Beginnend mit Google Distributed Cloud Release 1.9.0 können Sie SELinux vor oder nach der Clustererstellung oder Clusterupgrades aktivieren oder deaktivieren. Wenn SELinux auf dem Host aktiviert ist, wird es für die Containerlaufzeit aktiviert.
Aktivierung von SELinux prüfen
SELinux ist unter RHEL standardmäßig aktiviert.
Führen Sie zur Überprüfung Folgendes aus:
getenforce
Der Befehl gibt entweder Enforcing, Permissive oder Disabled zurück. Wenn der Befehl Enforcing zurückgibt, können Sie mit dem Upgrade fortfahren oder die Cluster erstellen.
SELinux aktivieren
Wenn der Befehl getenforcePermissive zurückgibt, können Sie mit dem Befehl setenforce in den Modus Enforcing wechseln. Bei einem Wechsel zwischen Permissive- und Enforcing-Modus mit setenforce ist kein Systemneustart erforderlich. Wenn Sie jedoch möchten, dass die Änderungen auch nach einem Neustart beibehalten werden, müssen Sie die Datei /etc/selinux/config aktualisieren.
Führen Sie diesen Befehl aus, um in den Enforcing-Modus zu wechseln:
sudosetenforce1# temporary
sudosed-i's/SELINUX=permissive/SELINUX=enforcing/g'/etc/selinux/config# persistent - after reboot
Wenn SELinux Disabled ist, aktivieren Sie es zuerst im Permissive-Modus und starten Sie dann das System neu, um zu prüfen, ob das System erfolgreich gestartet wird. Wenn keine SELinux-Fehler vorhanden sind, können Sie sicher auf SELinux in den Modus Enforcing wechseln.
Optional: Aktivieren Sie SELinux im Permissive-Modus:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-01 (UTC)."],[],[],null,["This page shows you how to secure your containers by enabling SELinux. SELinux\nis supported for Red Hat Enterprise Linux (RHEL). If your host machines are\nrunning RHEL and you want to enable SELinux for your cluster, you must enable\nSELinux in all of your host machines. Starting with Google Distributed Cloud release\n1.9.0, you can enable or disable SELinux before or after cluster creation or\ncluster upgrades. When SELinux is enabled on the host, it is enabled for the\ncontainer runtime.\n\nCheck if SELinux is enabled\n\nSELinux is enabled on RHEL by default.\n\n- To verify, run:\n\n getenforce\n\nThe command returns either `Enforcing`, `Permissive`, or `Disabled`. If the\ncommand returns `Enforcing`, then you can proceed with upgrading or creating\nyour clusters.\n\nEnable SELinux\n\nIf the `getenforce` command returns `Permissive`, you can switch to `Enforcing`\nmode using the `setenforce` command. Toggling between `Permissive` and\n`Enforcing` mode using `setenforce` doesn't require a system reboot. However, if\nyou want the changes to be persistent across reboots, you must update the\n`/etc/selinux/config` file.\n\n- To switch to `Enforcing` mode, run:\n\n sudo setenforce 1 # temporary\n sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # persistent - after reboot\n\nIf SELinux is `Disabled`, to enable it, we recommend to first enable it in\n`Permissive` mode first and reboot the system to verify that the system boots\nsuccessfully. If there are no SELinux errors, then you can safely switch SELinux\nto `Enforcing` mode.\n\n1. **Optional** : Enable SELinux in `Permissive` mode:\n\n sudo sed -i 's/SELINUX=disabled/SELINUX=permissive/g' /etc/selinux/config\n sudo reboot\n\n2. If the system reboots successfully with no SELinux errors, then you can\n enable `Enforcing` mode:\n\n sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config\n sudo reboot\n\nOnce SELinux is enabled in `Enforcing` mode, SELinux is enabled for all\nprocesses on the host, including the container runtime."]]
