SELinuxポリシーは、すべてのユーザー、プログラム、プロセス、ファイルおよびこれらが動作するデバイスのアクセス権限を示します。 SELinuxは、TargetedポリシーまたはMultilevel Security (MLS)ポリシーを実装するように構成できます。

ターゲット・ポリシーでは、システム上で攻撃対象となる可能性が最も高い限られた数のプロセスに、アクセス制御を適用します。 ターゲット・プロセスは、攻撃者が悪用する可能性のあるファイルへのアクセスを制限する、制限されたドメインと呼ばれる独自のSELinuxドメインで実行されます。 ターゲット・プロセスが制限されたドメイン外のリソースにアクセスを試みていることが検出された場合、SELinuxはこれらのリソースへのアクセスを拒否して、拒否を記録します。 制限されたドメインでは、特定のサービスのみが実行されます。 例として、httpd、named、sshdなど、ネットワーク上でクライアント・リクエストをリスニングするサービス、およびpasswdなど、ユーザーのかわりにタスクを実行するためにrootとして実行されるプロセスがあげられます。 多くのユーザー・プロセスを含め、その他のプロセスは、DACルールのみが適用される制限されないドメインで実行されます。 制限されないプロセスが攻撃によって危険にさらされた場合、SELinuxはシステム・リソースおよびデータへのアクセスを防ぐことはできません。

マルチレベル・セキュリティ(MLS)ポリシーでは、各レベルが異なるユーザー・アクセス・ルールを持つ複数レベルのプロセスに、アクセス制御を適用します。 特定レベルでプロセスを実行するための適切な権限を持っていない場合、ユーザーは情報にアクセスできません。 SELinuxでは、MLSはシステム・セキュリティにBell-LaPadula (BLP)モデルを実装します。このモデルでは、ファイル、プロセスおよびその他のシステム・オブジェクトにラベルを適用して、セキュリティ・レベル間の情報フローを制御します。標準的な実装では、セキュリティ・レベルのラベルの範囲はtop secretからsecret、classifiedおよび最もセキュリティの低いunclassifiedです。 たとえば、MLSでは、top secretとラベル付けされたファイルへの書込みは可能であるが、このファイルからの読取りは可能でない、secretとラベル付けされたプログラムを構成できます。 同様に、同じプログラムに対して、secretとラベル付けされたファイルからの読取りおよびファイルへの書込みを許可し、classifiedまたはunclassifiedファイルの読取りのみを許可することができます。 すなわち、プログラムを通過する情報を、セキュリティ・レベル階層の上方に流すことはできますが、下方に流すことはできません。