17.4.2. 主机安全性

Red Hat Enterprise Linux CoreOS (RHCOS) 与关键领域中的 Red Hat Enterprise Linux (RHEL)不同。如需更多信息，请参阅"关于 RHCOS"。

从电信角度来看，主要区别是 rpm-ostree 的控制，它通过 Machine Config Operator 更新。

RHCOS 遵循 OpenShift Container Platform 中用于 pod 的不可变设计。这样可确保操作系统在集群中保持一致。有关 RHCOS 架构的详情，请参考 "Red Hat Enterprise Linux CoreOS (RHCOS) "。

要在保持安全性的同时有效地管理主机，请尽可能避免直接访问。反之，您可以使用以下方法进行主机管理：

查看以下 RHCOS 保密机制，它们是维护主机安全性不可或缺的：

Linux 命名空间

为进程和资源提供隔离。每个容器都会将其进程和文件保留在其自己的命名空间中。如果用户实现容器命名空间逃逸，则他们可能会获得对主机操作系统的访问权限，这可能会影响到系统的安全性。

Security-Enhanced Linux (SELinux)

强制访问控制，根据进程限制对文件和目录的访问。这增加了额外一层的安全性，当一个进程尝试打破系统对其的限制时，可以防止未经授权的文件访问。

SELinux 遵循的安全策略是，拒绝所有，除非明确允许。如果进程尝试修改或访问没有权限的文件，SELinux 将拒绝访问。如需更多信息，请参阅 SELinux 简介。

Linux 功能

以粒度级别为进程分配特定的特权，从而最大程度减少对完整的 root 权限的需求。如需更多信息，请参阅"Linux 功能"。

控制组(cgroups)

分配和管理系统资源，如进程和容器的 CPU 和内存，确保有效使用。自 OpenShift Container Platform 4.16 起，有两个 cgroup 版本。现在默认配置了 cgroup v2。

CRI-O

充当实施安全界限和管理容器工作负载的轻量级容器运行时。