Система безопасности SELinux отличается от традиционной модели DAC (Discretionary Access Control) тем, что позволяет более точно настраивать контроль доступа. 4

DAC подразумевает, что пользователь сам определяет права доступа к своим файлам. 1 Каждый процесс (программа) запускается от имени определённого пользователя, и права доступа к объектам определяются на основании идентификации субъектов или групп. 2

SELinux использует модель MAC (Mandatory Access Control), которая позволяет определить политики безопасности над всеми процессами и объектами. 1 Решение о доступе принимается на основе большего количества информации об объекте, а не только основываясь на тождестве пользователя. 1

Кроме того, SELinux ограничивает каждый процесс своим собственным доменом, поэтому процесс может взаимодействовать только с определёнными типами файлов и другими процессами из разрешённых доменов. 4 Это предотвращает взлом любого процесса и получение хакерами общесистемного доступа. 4