Система SELinux в Linux позволяет контролировать обращения процессов к ресурсам операционной системы. 1 Процесс работы включает несколько шагов: 1

1. Все субъекты (процессы) и объекты (файлы, системные вызовы и т. д.) помечаются с помощью специальных меток, которые называются контекстом безопасности. 1 Процессы помечаются во время запуска, файлы — во время создания или установки ОС, их метки хранятся в расширенных атрибутах ФС, системные вызовы — при компиляции модуля SELinux. 1
2. Когда субъект пытается произвести какое-либо действие в отношении объекта, информация об этом действии поступает к обработчику SELinux. 1
3. Обработчик смотрит на контексты безопасности субъекта и объекта и, сверяясь с написанными ранее правилами (так называемая политика), принимает решение о дозволенности действия. 1
4. Если действие оказывается правомочным (политика его разрешает), объект (программа) продолжает работать в обычном режиме, в противном случае — она либо принудительно завершается, либо получает вежливый отказ. 1

В основе механизма безопасности SELinux лежит его политика. 5 Это набор правил, которые определяют безопасность и все права доступа в системе: имеются в виду пользователи, роли, процессы и файлы. 5 Политика определяет, как каждый из этих объектов связан друг с другом. 5