SELinux RPM

从 v2.5.8 版起可用

安全增强的 Linux(SELinux)是对 Linux 的安全增强。

它由 Red Hat 开发,是 Linux 上强制性访问控制(MAC)的一个实现。强制性访问控制允许系统管理员定义应用程序和用户如何访问不同的资源,如文件、设备、网络和进程间通信。SELinux 还通过使操作系统在默认情况下具有限制性而增强了安全性。

在历史上被政府机构使用后,SELinux 现在是行业标准,在 CentOS 7 和 8 上默认启用。要检查 SELinux 是否在你的系统上启用和执行,请使用getenforce

  1. getenforce
  3. Enforcing

Copy

我们提供了两个 RPM(红帽软件包),使 Rancher 产品能够在执行 SELinux 的主机上正常运行。rancher-selinuxrke2-selinux

rancher-selinux

为了让 Rancher 与 SELinux 一起工作,必须为 SELinux 节点手动启用一些功能。为了帮助解决这个问题,Rancher 提供了一个 SELinux RPM。

从 v2.5.8 开始,rancher-selinux RPM 只包含[rancher-logging application.]的策略(https://github.com/rancher/charts/tree/dev-v2.5/charts/rancher-logging)

rancher-selinux的 GitHub 仓库是这里。

rke2-selinux

rke2-selinux 为 RKE2 提供策略。当 RKE2 安装脚本检测到它在基于 RPM 的发行版上运行时,它会自动安装。

rke2-selinux的 GitHub 仓库是这里。

关于在支持 SELinux 的主机上安装 RKE2 的更多信息,请参阅RKE2 文档。

安装 Rancher-selinux RPM

要求: rancher-selinux RPM 已在 CentOS 7 和 8 上测试。

1. 设置 yum repo

设置 yum repo 以直接在集群中的所有主机上安装rancher-selinux

为了使用 RPM 仓库,在 CentOS 7 或 RHEL 7 系统上,运行以下 bash 片段。

  1. # cat << EOF > /etc/yum.repos.d/rancher.repo
  3. [rancher]
  5. name=Rancher
  7. baseurl=https://rpm.rancher.io/rancher/production/centos/7/noarch
  9. enabled=1
  11. gpgcheck=1
  13. gpgkey=https://rpm.rancher.io/public.key
  15. EOF

Copy

为了使用 RPM 资源库,在 CentOS 8 或 RHEL 8 系统上,运行下面的 bash 片段。

  1. # cat << EOF > /etc/yum.repos.d/rancher.repo
  3. [rancher]
  5. name=Rancher
  7. baseurl=https://rpm.rancher.io/rancher/production/centos/8/noarch
  9. enabled=1
  11. gpgcheck=1
  13. gpgkey=https://rpm.rancher.io/public.key
  15. EOF

Copy

2. 安装 RPM

安装 RPM。

  1. yum -y install rancher-selinux

Copy

配置日志应用程序以与 SELinux 一起工作

要求: Logging v2 在 RHEL/CentOS 7 和 8 上用 SELinux 测试。

一旦 “rancher-selinux “RPM 安装在主机上,应用程序不会自动工作。它们需要被配置为在 RPM 提供的允许的 SELinux 容器域中运行。

要配置rancher-logging图表为 SELinux 感知,在安装图表时将values.yaml中的global.seLinux.enabled改为 true。