7.6.14. 安全分配器配置

MCSAllocatorRange

定义将分配给命名空间的 MCS 类别范围。格式为 <prefix>/<numberOfLabels>[,<maxCategory>]。默认值为 s0/2，并从 c0 到 c1023 分配，这表示有总计 535k 个标签（1024 选择 2 ~ 535k）。如果此值在启动后改变，新项目可能会接收已经分配给其他项目的标签。前缀可以是任何有效的 SELinux 术语集合（包括 user、role 和 type），虽然它们保留为默认值，但允许服务器自动设置它们。

SecurityAllocator

控制为项目自动分配 UID 和 MCS 标签。如果为 nil，则禁用分配。

UIDAllocatorRange

定义会自动分配给项目的 Unix 用户 ID(UID)，以及每个命名空间获取的块的大小。例如，1000-1999/10 将根据每个命名空间分配十个 UID，并在用尽空间前分配最多 100 个块。默认值为在 10k 块中分配 10 亿到 20 亿的块（这是在用户命名空间启动后使用范围容器镜像的预期大小）。