En general, las capacidades son una buena manera de implementar un sistema de control de acceso obligatorio (ver Eros OS, por ejemplo).
Las capacidades del sistema Linux afectan a los objetos que pueden estar bajo DAC y MAC. Tampoco parecen interrumpir la posibilidad de hacer MAC, ya que puede limitar las capacidades de alteración utilizando el conjunto de límites. Una vez que elimine la capacidad de alterar la configuración de MAC del conjunto de límites en todos los procesos, tendrá el MAC completo en el sistema. Por supuesto errores de implementación pueden hacer esto mal. Si no elimina las funciones de MAC modificadas, los procesos que las tienen pueden tratar los controles de acceso obligatorios como discrecionales. Si alguno de esos procesos (o archivos desde los cuales comienzan) no forman parte de la "base de computación confiable" de su sistema, entonces lo que tiene es un sistema configurado con control de acceso discrecional.
Creo que la mejor respuesta a tu pregunta es:
las capacidades del sistema están diseñadas para ser compatibles y podrían ser parte de una implementación de control de acceso obligatorio, configuradas incorrectamente también podrían romper el control de acceso obligatorio .