Настройка SELinux¶

Если на хосте с WAF‑нодой активирован механизм SELinux, то он может помешать работе WAF‑ноды, так как будут недоступны:

• экспорт показателей RPS (requests per second) и APS (attacks per second) WAF‑ноды в облако Вебмониторэкс;

• экспорт метрик WAF‑ноды в системы мониторинга/сбора данных с использованием протокола TCP (см. документацию по настройке мониторинга).

SELinux по умолчанию установлен и активирован в дистрибутивах, основанных на RedHat Linux (например, CentOS и Amazon Linux 2.0.2021x и ниже). Он также доступен для установки и использования в других дистрибутивах, например, Debian и Ubuntu.

Требуется либо отключить SELinux, либо настроить его так, чтобы он не влиял на работу ноды Вебмониторэкс.

Проверьте статус SELinux¶

Выполните команду:

sestatus

Изучите вывод команды:

• SELinux status: enabled — SELinux включен.

• SELinux status: disabled — SELinux отключен.

Настройте SELinux¶

Чтобы SELinux не препятствовал работе WAF‑ноды, разрешите collectd работать с TCP-сокетами:

setsebool -P collectd_tcp_network_connect 1

Проверьте, что команда выполнена успешно:

semanage export | grep collectd_tcp_network_connect

# Вывод команды должен содержать строку:
# boolean -m -1 collectd_tcp_network_connect

Отключение SELinux¶

Чтобы отключить SELinux (перевести его в статус «disabled»), выполните одно из следующих действий:

• выполните команду setenforce 0 (SELinux будет отключен до перезагрузки);

• откройте файл /etc/selinux/config и измените значение переменной SELINUX на disabled (требуется перезагрузка, SELinux будет отключен постоянно).