Мандатная система управления доступом (MAC, Mandatory Access Control) в Linux предназначена для обеспечения большего уровня безопасности и контроля над доступом к ресурсам системы. 5

Принцип работы: для ресурсов (файлов, каталогов и других объектов) устанавливают метки доступа, которые определяют уровень конфиденциальности. 1 Например, можно назначить уровни безопасности «Ограниченный», «Конфиденциальный», «Секретный» или «Совершенно секретный». 1 Также ресурсам присваивают категорию безопасности, например «Отдел разработки» или «Проект внедрения». 1 Вместе уровень защиты и категория защищённости составляют защитный знак или метку. 1

Каждому авторизованному пользователю назначают уровень конфиденциальности, чтобы определить, к какому ресурсу он может получить доступ. 1 Уровень конфиденциальности указывают или присваивают при входе пользователя в систему. 1

После применения меток и завершения политики MAC пользователи могут получить доступ только к тем ресурсам (или к информации в рамках ресурсов), к которым у них есть право доступа. 1

Например: пользователь А может иметь право на доступ к информации, содержащейся в ресурсе с пометкой «Доступ для отдела разработки ограничен», но пользователь B может не иметь таких прав. 1 Аналогичным образом, пользователь B может иметь право на доступ к ресурсу с пометкой «Конфиденциальный проект X», но пользователь А может быть не уполномочен на это. 1

Критерии MAC определяются системным администратором, строго соблюдаются операционной системой или наложенным ядром безопасности и не могут быть изменены конечными пользователями. 1