强制访问控制（MAC）是一种由系统根据预先配置的全局策略来管理所有主体（如进程）对客体（如文件）访问的安全模型。在RHEL 9中，SELinux便是MAC的一个具体实现。主要特点：(1)非自主性：用户不能随意覆盖或修改系统强制的安全策略。访问权限由系统策略决定，而非资源所有者。(2)最小权限原则：MAC能够为每个进程（如Web服务器httpd、数据库mysqld）授予其完成任务所需的最小且精确的权

强制访问控制（MAC）是一种由系统根据预先配置的全局策略来管理所有主体（如进程）对客体（如文件）访问的安全模型。在RHEL 9中，SELinux便是MAC的一个具体实现。主要特点：(1)非自主性：用户不能随意覆盖或修改系统强制的安全策略。访问权限由系统策略决定，而非资源所有者。(2)最小权限原则：MAC能够为每个进程（如Web服务器httpd、数据库mysqld）授予其完成任务所需的最小且精确的权

(1)轻量化：容器共享宿主机操作系统内核，无需封装完整的客户机操作系统，镜像大小通常为几十到几百 MB（虚拟机为 GB 级）。(2)资源消耗低：容器是进程级隔离，CPU、内存开销远小于虚拟机；同样硬件可运行更多容器实例。(3)启动速度快：容器毫秒至秒级启动，虚拟机需分钟级。(4)可移植性：容器打包应用及其所有依赖（库、配置文件等），可在任何支持 OCI 标准的系统上运行。(5)快速并行运行：可快速