SeLinux 简直让人崩溃！

我啥也没干，就是装了个 docker ，跑了几个容器啊。
就是装了 docker 的原因

系统装完第一件事就是禁用这个。p 用没有，事情还多

@xcai 问题是许可模式下，没有审计日志。这时候容器也在执行的。

所以我用 Debian ，调这玩意就是折磨自己

权限什么所有者什么的调好了，它还有个上下文，你说烦不烦

这东西要用不是不行但最好不要用 虽然我都没强烈反对
这东西与 nsa 有关 也难用

可能性很多，我能想到的一个例子就是程序会先 exec 的时候变更到另外的 transition ，但是 policy 没配对，于是在 enforce 模式 transition 不过去（然后忽略了错误）导致执行出来的进程开始疯狂报错。不看一开始的日志很难判断（另外开始 log spam 的时候会干爆 setroubleshootd 确实很糟糕，我一般这时候会关掉这东西然后手动看 audit.log ）

另外你要是用的 Fedora/RedHat 系列系统建议用 podman 启容器，docker 和 SELinux 折腾起来就是要难点

docker 对 selinux 支持的不大行，尽量上 podman 。这两年没搞公司 selinux 这块了，没注意新的工具，以前都是 audit2allow + 人肉审查生成的 type 、fcontext 和 policy ，没注意这个 se troubleshoot d #捂脸

debian 的 apparmor 也很麻烦的，但是这俩都不用吧，就得找其他的加固方案，各有各的缺点