6.1.1 SELinux：强制访问控制与进程隔离

文档摘要

6.1.1 SELinux：强制访问控制与进程隔离 6.1.1 SELinux：强制访问控制与进程隔离当容器逃逸事件再次登上安全公告的头条，当某个看似无害的 Web 服务进程悄然打开了，我们不得不重新审视传统 Linux 权限模型的边界。自主访问控制（DAC）赋予资源所有者的自由裁量权，在复杂的多租户环境与现代微服务架构中，已然成为攻击者横向移动的跳板。强制访问控制（MAC）并非对自由的剥夺，而是在内核层面构建的一道确定性防线——SELinux 正是这道防线的工程化实现。它通过将系统实体标记为安全上下文（Security Context），并在每一次系统调用触发的访问请求时执行策略判定，实现了进程与资源的严格隔离。