4.3.1 LSM 安全模块挂钩

文档摘要

4.3.1 LSM 安全模块挂钩在 Linux 内核安全演进的漫长征途中，LSM（Linux Security Modules）不是一座孤峰，而是一条深埋于内核腹地、贯穿系统调用生命周期的“安全神经束”。它不替代传统 DAC（自主访问控制），也不强行覆盖 SELinux 或 AppArmor 的策略逻辑，而是以一种近乎谦卑却无比坚定的方式，在关键路径上悄然植入钩子（hook）——那些微小却不可绕过的函数指针，像精密手术刀般切开内核执行流，在、、等数十个语义明确的接口处，为安全模块提供“插话权”。而“4.3.1 LSM 安全模块挂钩”，正是这条神经束最核心的脉冲发生器：它定义了谁能在何时、以何种方式、在哪个上下文中介入内核行为。