在容器化环境中，SELinux的Type Enforcement（TE）机制是防御容器逃逸攻击的关键防线。 本文以Nginx容器为例，演示如何通过定制SELinux策略实现严格的目录隔离，确保即使容器被攻破，攻击者也无法访问宿主机的敏感资源。