Il DAC non è obbligatorio perché le autorizzazioni di accesso sono lasciate alla discrezione del proprietario della risorsa.
L'amministrazione del controllo di accesso obbligatorio (Smack, SELinux, ecc.) può essere eseguita solo da un processo / utente con CAP_MAC_ADMIN (o root).
Dal momento che il MAC non dipende dai controlli discrezionali per applicare i controlli obbligatori, le capacità del sistema Linux sono considerate obbligatorie?
Generalmente le capacità sono un buon modo per implementare un sistema di controllo di accesso obbligatorio (vedi OS di Eros, per esempio).
Le capacità del sistema Linux riguardano gli oggetti che possono essere sia in DAC che in MAC. Inoltre non sembrano per rompere la possibilità di fare MAC poiché è possibile limitare le capacità di alterazione usando il set di delimitazione. Una volta rimossa la capacità di modificare le impostazioni MAC dal set di delimitazione su tutti i processi, allora si dispone di un MAC completo sul sistema. Naturalmente i bug di implementazione potrebbero rendere questo sbagliato. Se non si rimuovono le funzionalità di modifica MAC, i processi che li hanno sono in grado di trattare i controlli di accesso obbligatori come discrezionali. Se uno qualsiasi di questi processi (o file da cui inizia) non fa parte della "trusted computing base" per il proprio sistema, allora quello che si ha è un sistema configurato con controllo di accesso discrezionale.
Penso che la migliore risposta alla tua domanda sia: Le funzionalità del sistema sono progettate per supportare e potrebbero far parte di un'implementazione obbligatoria del controllo accessi, configurate in modo errato potrebbero anche violare il controllo di accesso obbligatorio .
Leggi altre domande sui tag linux access-control mandatory-access-control capabilities