加 –security-opt label=type:container_runtime_t 会导 […]

rootless 容器更安全的关键在于 user namespace 隔离：podman 将容器内 uid 0 […]

这是典型的 cgroup 驱动不匹配问题：宿主机用 systemd 管理 cgroups，但 kubelet […]

ausearch –start recent -m avc -i 返回空是因 recent 依赖 […]

audit2allow 规则不生效的根本原因是 SELinux 策略加载顺序与进程实际安全上下文不一致，且 a […]

journalctl 查不到日志的首要原因是服务未由 systemd 管理；其次可能是日志输出被重定向、dae […]

cpulimit 适合临时限制已有进程 CPU 占用，通过 STOP/CONT 信号节流；cgroups v2 […]

端口显示“Address already in use”却查不到进程，通常因权限不足、未监听本地地址、容器占用 […]