根本原因是动态链接器缺失，而非文件不存在；distroless 镜像不包含标准 libc 路径和 shell， […]

-a never,exclude 不生效是因为 exclude 仅为 -a 的修饰符，须配合 arch、sys […]

available 列才是真正的可用内存，它由内核估算可立即分配而不触发 oom 的量；memfree+buf […]

service 命令常报 command not found，因现代 linux 多用 systemd，ser […]

modern-bpf 驱动更稳因其基于 co-re/btf 实现内核版本无关性，避免 classic bpf […]

plugins.”io.containerd.grpc.v1.cri”.contain […]

最可靠方法是检查文件存在性：ls /boot/grub/grub.cfg 存在则为 grub，ls /boot […]

logrotate 的 size 和 daily 互斥，需据日志增长特性选择：daily 适合稳定日志按天归档 […]

rootfs 只读挂载与 overlayfs 协同使用：前者保障镜像安全与不可变性，后者提供轻量可写层；生产中 […]

psa 的 enforce/audit/warn 分别拦截 pod 创建（403 拒绝）、记录违规日志（放行） […]