La premessa di base di SELinux sembra controllare quale sistema di attività permetta a ciascun utente, processo e demone, tutto ciò che va oltre il set consentito è un blocco predefinito.
Significa che SELinux sovrascrive effettivamente il DAC convenzionale o il DAC gioca ancora un ruolo?
SELinux integra il DAC, è un miglioramento del DAC. Un componente aggiuntivo facoltativo per DAC. È una patch per il DAC con lo scopo di affrontare le varie sfide dei giorni nostri. Il DAC è vecchio e aveva bisogno di una revisione. In pratica SELinux si trova sotto il DAC. Quindi il primo DAC viene applicato e dopo questo viene applicato SELinux. Il che significa che SELinux alla fine ha la precedenza. SELinux sovrascrive il DAC a seconda di come lo guardi. È possibile utilizzare SELinux per impedire l'accesso che sarebbe altrimenti consentito dal DAC ma non è possibile utilizzare SELinux per consentire l'accesso che sarebbe altrimenti impedito da DAC
SE Linux implementa il Controllo di accesso obbligatorio, oltre al percorso fidato e ad altre cose, che funzionano in parallelo al DAC. Se si dispone dell'autorizzazione di lettura, ad esempio, foo.txt, è necessario disporre anche di un livello MAC e di una categoria che consentano di accedere a foo. In un certo senso esclude il DAC, ma DAC può sovrascrivere il MAC, quindi paghi i tuoi soldi e tu fai la tua scelta.
È stato scritto per uno specifico modello di riservatezza: può essere ed è utilizzato per altri modelli, come vincoli di demoni e processi non fidati.
Leggi altre domande sui tag linux access-control selinux