带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器（2）

《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器（1） https://developer.aliyun.com/article/1231360?groupCode=aliyun_linux

背景信息

1、CSV VM启动；

2、下载加密镜像时才会通过attestation-agent将通过vm-attestation hypercall获取的包括attestation-report 、chip-id等内容的CSV VM evidence发送给verdictd server校验；

3、校验通过后virdictd才与attestation-agent建立基于rats-tls的可信硬件环境的安全通道、并将加密镜像的解密key通过该安全通道发送给attestation-agent；

4、CSV VM利用步骤3获得的解密key解密镜像，运行工作负载

步骤一：配置权限景信息

1. 关闭fifirewall

Linux系统下面自带了防火墙iptables，iptables可以设置很多安全规则。但是如果配置错误很容易导致各种网络问题。此处建议关闭fifirewall。执行如下操作：

sudo service fifirewalld stop

2. 关闭selinux

Security-Enhanced Linux（SELinux）是一个在內核中强制访问控制（MAC）安全性机制。为避免出现权限控制导致的虚拟机启动、访问失败等问题，此处建议关闭selinux。 执行如下操作：

sudo setenforce 0
sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/confifig

《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器（3） https://developer.aliyun.com/article/1231358?groupCode=aliyun_linux