Что такое seccomp, AppArmor и SELinux в контексте контейнеров?

Это механизмы Linux для ограничения системных вызовов и доступа процессов. seccomp (Secure Computing Mode) фильтрует syscalls — контейнер не может вызвать опасные системные функции. AppArmor — профили, ограничивающие доступ к файлам, сетям, capabilities. SELinux — MAC система с labels на всех объектах, более мощная но сложнее. В Kubernetes задаются через securityContext и Pod Security Standards. Docker по умолчанию применяет ограничивающий seccomp профиль.