- Linux系统默认开启的SELinux安全机制会使TEE功能不可用。如果客户想在自己的系统中使用SELinux,需要手动配置SELinux规则。
- 禁用SELinux可能会导致安全问题,如果客户最终的解决方案本身没有规划启用SELinux,建议通过端到端的整体方案来弥补SELinux关闭带来的风险,且需自行承担安全风险。如果客户有SELinux的需求,建议根据实际的SELinux问题进行细粒度的规则配置,并保证整个系统的安全。
在KVM侧执行以下操作进行SELinux的相关配置。
- 临时关闭SELinux。
setenforce 0
- 永久关闭SELinux (永久关闭的方法需要重启机器才能生效)。
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config