La premisa básica de SELinux parece controlar qué sistema de actividades permite a cada usuario, proceso y demonio, todo lo que está más allá del conjunto permitido es el bloqueo por defecto.
¿Significa que SELinux anula efectivamente el DAC convencional o el DAC sigue desempeñando un primer papel?
SELinux complementa a DAC, es una mejora a DAC. Un complemento opcional para DAC. Es un parche para DAC con el objetivo de abordar diversos desafíos de hoy en día. DAC es viejo y necesitaba una revisión. En la práctica, SELinux se encuentra debajo de DAC. Entonces, primero se aplica el DAC y luego se aplica SELinux. Lo que significa que SELinux eventualmente tiene prioridad. SELinux anula el DAC dependiendo de cómo se mire. Puede usar SELinux para evitar el acceso que de otra manera sería permitido por DAC, pero no puede usar SELinux para permitir el acceso que de otra manera sería prevenido por DAC
SE Linux implementa el Control de acceso obligatorio, además de una ruta de confianza y algunas otras cosas, que funcionan en paralelo a DAC. Si tiene permiso de lectura para, por ejemplo, foo.txt, también debe tener un nivel de MAC y una categoría que le permita acceder a foo. En cierto sentido, anula el DAC, pero luego el DAC puede anular el MAC, por lo que paga su dinero y toma su decisión.
Fue escrito para un modelo específico de confidencialidad: se puede usar y se usa para otros modelos, como los demonios restrictivos y los procesos que no son de confianza.
Lea otras preguntas en las etiquetas linux access-control selinux