Включение или отключение SELinux

Материал из Dynatrace
Версия от 09:51, 20 января 2023; YaPolkin (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Dynatrace Managed версии 1.222+

SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.

SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.

Управляемая установка Dynatrace автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы службы Dynatrace Managed могли успешно работать в принудительном режиме. Для установки Dynatrace Managed в системе SELinux в принудительном режиме требуется, чтобы в вашей системе была доступна утилита semanage. Установка не удастся, если необходимый пакет отсутствует.

  • Для новых установок от вас не требуется выполнять никаких дополнительных действий.
  • Для существующих установок после включения SELinux вам необходимо запустить сценарий reconfigure.sh:
    • <PRODUCT_PATH>/installer/reconfigure.sh
  • Для более старых версий вам необходимо изменить режим SELinux на разрешающий.

Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита semanage и другие необходимые пакеты.

Включить SELinux

Чтобы включить SELinux в вашей системе, убедитесь, что у вас установлены необходимые пакеты:

  • policycoreutils
  • selinux-utils
  • selinux-basics

Также убедитесь, что вы активировали SELinux в своей системе.

Чтобы настроить SELinux в Ubuntu

  1. Используйте команду apt для установки следующих пакетов:
    • # sudo apt install policycoreutils selinux-utils selinux-basics
  2. Активируйте SELinux:
    • # sudo selinux-activate
    • Вы должны увидеть:
    • SE Linux is activated. You may need to reboot now.
  3. Установите SELinux в принудительный режим:
    • # sudo selinux-config-enforcing
  4. Остановите управляемые службы Dynatrace:
  5. Перезагрузите вашу систему.
    • Перемаркировка SELinux будет запущена после перезагрузки системы. По завершении система автоматически перезагрузится ещё раз.
  6. Проверьте статус SELinux:
    • # sestatus
    • SELinux status: enabled
    • SELinuxfs mount: /sys/fs/selinux
    • SELinux root directory: /etc/selinux
    • Loaded policy name: default
    • Current mode: enforcing
    • Mode from config file: error (Success)
    • Policy MLS status: enabled
    • Policy deny_unknown status: allowed
    • Memory protection checking: requested (insecure)
    • Max kernel policy version: 31
  7. Настройте Dynatrace Managed с включенным SELinux:
    • <PRODUCT_PATH>/installer/reconfigure.sh

Отключить SELinux

Чтобы отключить SELinux

  1. Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled:
    • SELINUX=disabled
  2. Остановите службы Dynatrace Managed:
  3. Перезагрузите вашу систему.
  4. Настройте Dynatrace Managed с отключенным SELinux:
    • <PRODUCT_PATH>/installer/reconfigure.sh

Изменения операционной системы

Установщик Dynatrace Managed выполняет следующие изменения в вашей системе, если режим SELinux принудительный, и для установки или хранения используются пользовательские пути:

Контекст файла обновляется до usr_t для всех каталогов Dynatrace Managed (двоичные файлы и хранилище), путем выполнения следующих команд, где /custom-dir/ - это пользовательский путь для установки или хранилища Dynatrace Managed:

# semanage fcontext -a -t usr_t "/custom-dir/"

# semanage fcontext -a -t usr_t "/custom-dir/.*"

# restorecon -R /custom-dir/

Источник — https://doc.expert-apm.kz/index.php?title=Включение_или_отключение_SELinux&oldid=2507