Как работает система SELinux в контексте обеспечения безопасности?

Система SELinux обеспечивает безопасность путём контроля обращений процессов к ресурсам операционной системы. xakep.ru Процесс происходит в несколько шагов: xakep.ru

1. Все субъекты (процессы) и объекты (файлы, системные вызовы и т. д.) помечаются специальными метками, которые называют контекстом безопасности. xakep.ru Процессы помечаются во время запуска, файлы — во время создания или установки ОС, их метки хранятся в расширенных атрибутах ФС, системные вызовы — при компиляции модуля SELinux. xakep.ru
2. Когда субъект пытается произвести какое-либо действие в отношении объекта, информация об этом действии поступает к обработчику SELinux. xakep.ru
3. Обработчик смотрит на контексты безопасности субъекта и объекта и, сверяясь с написанными ранее правилами (так называемая политика), принимает решение о дозволенности действия. xakep.ru
4. Если действие оказывается правомочным (политика его разрешает), объект (программа) продолжает работать в обычном режиме, в противном случае — она либо принудительно завершается, либо получает вежливый отказ. xakep.ru

С помощью SELinux можно:

• ограничить процесс в возможности обращения к тем или иным системным вызовам или файлам; xakep.ru
• контролировать то, как происходит системный вызов, какие при этом используются аргументы; xakep.ru
• запрещать или разрешать привязку процесса к определённым портам. xakep.ru

SELinux действует после классической модели безопасности Linux: через SELinux нельзя разрешить то, что запрещено через права доступа пользователей или групп. ru.wikipedia.org