DAC no es obligatorio porque los permisos de acceso se dejan a criterio del propietario del recurso.
La administración del control de acceso obligatorio (Smack, SELinux, etc.) solo se puede realizar mediante un proceso / usuario con CAP_MAC_ADMIN (o raíz).
Dado que MAC no dependería de ningún control discrecional para hacer cumplir los controles obligatorios, ¿se consideran obligatorias las capacidades del sistema Linux?
En general, las capacidades son una buena manera de implementar un sistema de control de acceso obligatorio (ver Eros OS, por ejemplo).
Las capacidades del sistema Linux afectan a los objetos que pueden estar bajo DAC y MAC. Tampoco parecen interrumpir la posibilidad de hacer MAC, ya que puede limitar las capacidades de alteración utilizando el conjunto de límites. Una vez que elimine la capacidad de alterar la configuración de MAC del conjunto de límites en todos los procesos, tendrá el MAC completo en el sistema. Por supuesto errores de implementación pueden hacer esto mal. Si no elimina las funciones de MAC modificadas, los procesos que las tienen pueden tratar los controles de acceso obligatorios como discrecionales. Si alguno de esos procesos (o archivos desde los cuales comienzan) no forman parte de la "base de computación confiable" de su sistema, entonces lo que tiene es un sistema configurado con control de acceso discrecional.
Creo que la mejor respuesta a tu pregunta es: las capacidades del sistema están diseñadas para ser compatibles y podrían ser parte de una implementación de control de acceso obligatorio, configuradas incorrectamente también podrían romper el control de acceso obligatorio .
Lea otras preguntas en las etiquetas linux access-control mandatory-access-control capabilities