安全加固说明

CONFIG_KALLSYMS_ALL = n

kallsyms导出内核符号地址，攻击者（或逃逸的guest进程）可借此进行内核信息泄露和利用。

CONFIG_MODULES = n

禁用模块可防止运行时加载恶意/未签名的模块，减少攻击面。

CONFIG_MODULE_SIG = y && CONFIG_MODULE_SIG_ALL = y

强制模块签名可以在必须支持模块时提升安全。

CONFIG_PROC_KCORE = n

/proc/kcore暴露内核内存镜像，可能泄露敏感信息。

CONFIG_FUNCTION_TRACER / CONFIG_FTRACE / CONFIG_KPROBES / CONFIG_PERF_EVENTS / CONFIG_BPF / CONFIG_BPF_SYSCALL = n

这些功能允许用户级或内核级的动态监控、插桩、JIT 编译（BPF JIT）——对攻击者很有用（探测、侧信道或持久化）。

CONFIG_SYSCTL = n

sysctl 提供运行时调优入口，可能被滥用改变安全相关行为。

CONFIG_KEXEC / CONFIG_KEXEC_CORE / CONFIG_CRASH_DUMP = n

kexec/crashdump途径可能允许在运行时加载另一个内核或把内存转储，增加风险/泄露通道。