5.2.4 挂载标志（Z, z）与 SELinux 上下文重标记

文档摘要

5.2.4 挂载标志（Z, z）与 SELinux 上下文重标记当容器技术从边缘实验走向生产核心，安全边界的划定便成为架构师们不得不面对的硬骨头。想象一下这样的场景：你启动了一个 Nginx 容器，将宿主机的挂载为数据卷，期望它对外提供静态资源服务。然而，容器内的进程却不断遭遇的拒绝——并非传统的 Unix 权限在作祟，而是 SELinux 这个更为严苛的安全裁判在行使它的否决权。宿主机的文件带着的标签，而容器内的进程却以的身份运行，两者之间的安全上下文鸿沟，足以让任何跨边界访问 attempt 铩羽而归。正是在这样的背景下，Docker 与 Podman 等容器运行时引入了与这两个看似微小却至关重要的挂载标志。