従来のLinuxのセキュリティは、壊れたソフトウェアからの最小限の保護、または通常ユーザーあるいはrootとして実行されるマルウェアからの最小限の保護を提供する、任意アクセス制御(DAC)ポリシーに基づいていました。 ファイルやデバイスへのアクセスは、ユーザーIDと所有権のみに基づいています。 マルウェアや壊れたソフトウェアは、プロセスを起動したユーザーがファイルやリソースに対して実行できることはすべて実行できます。 ユーザーがrootの場合、またはアプリケーションがrootにsetuidまたはsetgidされている場合、プロセスはファイル・システム全体に対するrootアクセス制御を持つことができます。

国家安全保障局は、Linuxオペレーティング・システムのファイル、プロセス、ユーザー、アプリケーションの詳細レベルでの制御を可能にするために、Security Enhanced Linux (SELinux)を策定しました。 LinuxカーネルのSELinux拡張により、強制アクセス制御(MAC)ポリシーが実装され、すべてのユーザー、プログラム、プロセス、ファイル、デバイスに詳細な権限を提供するセキュリティ・ポリシーを定義できるようになりました。 カーネルのアクセス制御の決定は、認証されたユーザーIDだけでなく、利用可能なすべてのセキュリティ関連情報に基づいて行われます。

SELinuxの機能を使用することで、組織ではシステム上にセキュリティ・ポリシーを定義して実装できるようになります。 セキュリティ・ポリシーとは、サイトの情報やその他のリソース(コンピュータ・ハードウェアなど)の保護に役立つルールや手続きをまとめたものです。 一般にセキュリティ・ルールでは、誰がどの情報にアクセスできるか、または誰にリムーバブル・メディアへのデータ書込みが許可されているか、というような問題を扱います。 セキュリティ手続きとは、推奨されるタスクの実行手順のことです。

プロセスがファイルを開こうとするなど、セキュリティ関連アクセスが発生すると、SELinuxはカーネルの操作をインターセプトします。 MACポリシー・ルールでこの操作が許可される場合、操作は続行されます。許可されない場合、SELinuxは操作をブロックして、プロセスにエラーを戻します。 カーネルは、MACルールの前にDACポリシー・ルールを確認して実施するため、DACルールでリソースへのアクセスが拒否された場合、SELinuxポリシー・ルールは確認されません。

通常、SELinuxはenforcingモード(SELinuxセキュリティ・ポリシー・ルールで許可されていないかぎり、ユーザーおよびプログラムへのアクセスがカーネルによって拒否される)で実行されます。 拒否メッセージはすべて、AVC (アクセス・ベクター・キャッシュ)拒否として記録されます。 SELinuxがpermissiveモードで実行されると、カーネルがセキュリティ・ポリシー・ルールを強制することはありませんが、SELinuxによって拒否メッセージがログ・ファイルに送信されます。 これにより、もしSELinuxがEnforcingモードで実行されていたら、どのアクションが拒否されていたかを確認できます。 このモードは、SELinuxの動作を診断するために使用されます。 SELinuxを無効にすると、カーネルではアクセス制御にDACルールのみを使用します。