SELinux 强制访问控制实战 2026:RHEL 10 与 Fedora 42 上的 CIL 策略、audit2allow 与容器加固完整指南
RHEL 10 与 Fedora 42 的默认策略发生重大变化:strict_unconfined_login 默认开启、bpf() 权限细分为 7 项、disabled 模式被废弃。本文用工作流而非堆规则的方式,演示如何用 ausearch+sealert 定位 AVC、用 CIL 替代 m4 写策略、用 udica 给容器生成最小权限模块,并给出可直接落地的 CIS 4.0 加固基线。
