所有文章

SELinux 强制访问控制实战 2026:RHEL 10 与 Fedora 42 上的 CIL 策略、audit2allow 与容器加固完整指南
强制访问控制 高级

SELinux 强制访问控制实战 2026:RHEL 10 与 Fedora 42 上的 CIL 策略、audit2allow 与容器加固完整指南

RHEL 10 与 Fedora 42 的默认策略发生重大变化:strict_unconfined_login 默认开启、bpf() 权限细分为 7 项、disabled 模式被废弃。本文用工作流而非堆规则的方式,演示如何用 ausearch+sealert 定位 AVC、用 CIL 替代 m4 写策略、用 udica 给容器生成最小权限模块,并给出可直接落地的 CIS 4.0 加固基线。

Yuki Tanaka 32 分钟阅读