Sync: add kubernetes observability notes

wiki/concepts/SE-Linux-Enforcing.md

@@ -0,0 +1,74 @@
+---
+title: "SE Linux Enforcing Mode"
+type: concept
+tags:
+  - Security
+  - Linux
+  - MAC
+  - Access Control
+sources:
+  - public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w
+last_updated: 2026-04-24
+---
+
+# SE Linux Enforcing Mode
+
+SE Linux（Security-Enhanced Linux）是美国国家安全局（NSA）开发的 Linux 内核安全模块，通过强制访问控制（MAC，Mandatory Access Control）机制，在传统的自主访问控制（DAC，Discretionary Access Control）之上增加了一层细粒度的安全策略。
+
+## DAC vs MAC
+
+| 维度 | DAC（传统 Linux 权限） | MAC（SE Linux） |
+|------|----------------------|----------------|
+| 控制方式 | 所有者自主决定 | 系统统一策略强制执行 |
+| 粒度 | 用户/组/其他 + rwx | 主体标签 + 客体标签 + 策略规则 |
+| 绕过风险 | root 可修改任何权限 | 即使 root 也受策略约束 |
+| 配置难度 | 简单（chmod/chown） | 复杂（需要策略编写） |
+
+## 关键概念
+
+- **主体（Subject）**：进程，通常具有特定的安全上下文（如 `system_u:system_r:container_file_t`）
+- **客体（Object）**：文件、目录、端口、进程等系统资源
+- **安全上下文（Security Context）**：格式为 `user:role:type[:level]` 的标签字符串
+- **策略规则（Policy Rules）**：定义哪些主体可以对哪些客体执行哪些操作的规则集合
+- **Enforcing 模式**：强制执行策略，违反策略的操作被拒绝并记录
+- **Permissive 模式**：仅记录违反策略的操作，不实际阻止
+
+## Bottlerocket 中的 SE Linux
+
+Bottlerocket OS 默认启用 SE Linux enforcing 模式：
+- **容器隔离**：每个容器运行在独立的安全上下文中，防止容器逃逸后影响宿主机或其他容器
+- **最小权限原则**：即使容器内获得 root 权限，其操作仍受 SE Linux 策略限制
+- **与容器运行时集成**：containerd、docker 等容器运行时通过 SE Linux 标签隔离不同容器的工作负载
+
+## 常见 SE Linux 标签
+
+| 标签 | 用途 |
+|------|------|
+| `unconfined_t` | 不受限制的进程 |
+| `container_file_t` | 容器管理的文件（如 volume 挂载点） |
+| `svirt_sandbox_file_t` | SELinux 虚拟沙箱文件标签 |
+| `admin_t` | 系统管理员类型 |
+
+## 与其他安全机制的协同
+
+- **与 AppArmor**：AppArmor 是 SE Linux 的替代方案，Ubuntu 默认使用 AppArmor
+- **与 seccomp**：seccomp 限制进程可调用的系统调用，SE Linux 控制对系统对象的访问
+- **与 capabilities**：Linux capabilities 将 root 特权拆分为多个独立能力，SE Linux 在此基础上进一步限制能力的使用场景
+
+## 故障排查
+
+SE Linux  enforcing 模式下，常见故障表现为"Permission denied"即使文件权限看起来正确：
+
+```bash
+# 查看文件的安全上下文
+ls -Z /path/to/file
+
+# 查看进程的 SE Linux 上下文
+ps -Z
+
+# 临时切换为 Permissive 模式（调试用）
+setenforce 0
+
+# 查看 SE Linux 拒绝日志
+ausearch -m avc -ts recent
+```