Включение или отключение SELinux: различия между версиями
YaPolkin (обсуждение | вклад) (Новая страница: «''<u>Dynatrace Managed версии 1.222+</u>'' SELinux (Linux с повышенной безопасностью) - это ядро безопасности Li...») |
YaPolkin (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
''<u> | ''<u>Ключ-АСТРОМ Managed версии 1.222+</u>'' | ||
SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором. | SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором. | ||
Строка 5: | Строка 5: | ||
SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux. | SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux. | ||
Управляемая установка | Управляемая установка Ключ-АСТРОМ автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы управляемые службы Ключ-АСТРОМ могли успешно работать в принудительном режиме. Для установки Ключ-АСТРОМ Managed в системе SELinux в принудительном режиме требуется, чтобы в вашей системе была доступна утилита semanage. Установка не удастся, если необходимый пакет отсутствует. | ||
* Для новых установок от вас не требуется выполнять никаких дополнительных действий. | * Для новых установок от вас не требуется выполнять никаких дополнительных действий. | ||
Строка 33: | Строка 33: | ||
# Установите SELinux в принудительный режим: | # Установите SELinux в принудительный режим: | ||
#* <code># sudo selinux-config-enforcing</code> | #* <code># sudo selinux-config-enforcing</code> | ||
# Остановите управляемые службы | # Остановите управляемые службы Ключ-АСТРОМ: | ||
#* <code># ./dynatrace.sh stop</code> | #* <code># ./dynatrace.sh stop</code> | ||
#* Подробнее см. Запуск/остановка/перезапуск кластера. | #* Подробнее см. Запуск/остановка/перезапуск кластера. | ||
Строка 50: | Строка 50: | ||
#* <code>Memory protection checking: requested (insecure)</code> | #* <code>Memory protection checking: requested (insecure)</code> | ||
#* <code>Max kernel policy version: 31</code> | #* <code>Max kernel policy version: 31</code> | ||
# Настройте | # Настройте Ключ-АСТРОМ Managed с включенным SELinux: | ||
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code> | #* <code><PRODUCT_PATH>/installer/reconfigure.sh</code> | ||
Строка 58: | Строка 58: | ||
# Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled: | # Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled: | ||
#* <code>SELINUX=disabled</code> | #* <code>SELINUX=disabled</code> | ||
# Остановите управляемые службы | # Остановите управляемые службы Ключ-АСТРОМ: | ||
#* <code># ./dynatrace.sh stop</code> | #* <code># ./dynatrace.sh stop</code> | ||
#* Подробнее см. Запуск/остановка/перезапуск кластера. | #* Подробнее см. Запуск/остановка/перезапуск кластера. | ||
# Перезагрузите вашу систему. | # Перезагрузите вашу систему. | ||
# Настройте | # Настройте Ключ-АСТРОМ Managed с отключенным SELinux: | ||
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code> | #* <code><PRODUCT_PATH>/installer/reconfigure.sh</code> | ||
== Изменения операционной системы == | == Изменения операционной системы == | ||
Управляемый установщик | Управляемый установщик Ключ-АСТРОМ выполняет следующие изменения в вашей системе, если включен режим SELinux и для установки или хранения используются пользовательские пути: | ||
Контекст файла обновляется до usr_t для всех каталогов, управляемых | Контекст файла обновляется до usr_t для всех каталогов, управляемых Ключ-АСТРОМ (двоичные файлы и хранилище), путем выполнения следующих команд, где /custom-dir/dynatrace-managed - это настраиваемый путь для установки или хранилища Ключ-АСТРОМ Managed: | ||
<code># semanage fcontext -a -t usr_t "/custom-dir/dynatrace-managed"</code> | <code># semanage fcontext -a -t usr_t "/custom-dir/dynatrace-managed"</code> |
Версия 17:24, 4 декабря 2021
Ключ-АСТРОМ Managed версии 1.222+
SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.
SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.
Управляемая установка Ключ-АСТРОМ автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы управляемые службы Ключ-АСТРОМ могли успешно работать в принудительном режиме. Для установки Ключ-АСТРОМ Managed в системе SELinux в принудительном режиме требуется, чтобы в вашей системе была доступна утилита semanage. Установка не удастся, если необходимый пакет отсутствует.
- Для новых установок от вас не требуется выполнять никаких дополнительных действий.
- Для существующих установок после включения SELinux вам необходимо запустить сценарий reconfigure.sh:
<PRODUCT_PATH>/installer/reconfigure.sh
- Для более старых версий вам необходимо изменить режим SELinux на разрешающий.
Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита semanage и другие необходимые пакеты.
Включить SELinux
Чтобы включить SELinux в вашей системе, убедитесь, что у вас установлены необходимые пакеты:
policycoreutils
selinux-utils
selinux-basics
Также убедитесь, что вы активировали SELinux в своей системе.
Чтобы настроить SELinux в Ubuntu
- Используйте команду apt для установки следующих пакетов:
# sudo apt install policycoreutils selinux-utils selinux-basics
- Активируйте SELinux:
# sudo selinux-activate
- Вы должны увидеть:
SE Linux активирован. Возможно, вам потребуется перезагрузка сейчас.
- Установите SELinux в принудительный режим:
# sudo selinux-config-enforcing
- Остановите управляемые службы Ключ-АСТРОМ:
# ./dynatrace.sh stop
- Подробнее см. Запуск/остановка/перезапуск кластера.
- Перезагрузите вашу систему.
- Перемаркировка SELinux будет запущена после перезагрузки системы. По завершении система автоматически перезагрузится еще раз.
- Проверьте статус SELinux:
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: default
Current mode: enforcing
Mode from config file: error (Success)
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: requested (insecure)
Max kernel policy version: 31
- Настройте Ключ-АСТРОМ Managed с включенным SELinux:
<PRODUCT_PATH>/installer/reconfigure.sh
Отключить SELinux
Чтобы отключить SELinux
- Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled:
SELINUX=disabled
- Остановите управляемые службы Ключ-АСТРОМ:
# ./dynatrace.sh stop
- Подробнее см. Запуск/остановка/перезапуск кластера.
- Перезагрузите вашу систему.
- Настройте Ключ-АСТРОМ Managed с отключенным SELinux:
<PRODUCT_PATH>/installer/reconfigure.sh
Изменения операционной системы
Управляемый установщик Ключ-АСТРОМ выполняет следующие изменения в вашей системе, если включен режим SELinux и для установки или хранения используются пользовательские пути:
Контекст файла обновляется до usr_t для всех каталогов, управляемых Ключ-АСТРОМ (двоичные файлы и хранилище), путем выполнения следующих команд, где /custom-dir/dynatrace-managed - это настраиваемый путь для установки или хранилища Ключ-АСТРОМ Managed:
# semanage fcontext -a -t usr_t "/custom-dir/dynatrace-managed"
# semanage fcontext -a -t usr_t "/custom-dir/dynatrace-managed/.*"
# restorecon -R /custom-dir/dynatrace-managed