của SELinux
Tất cả các tiến trình và các tập tin đều được gán nhãn với một type
Mỗi type định nghĩa một miền (domain) của tiến trình và một loại của tập tin. Các tiến trình được phân tách với nhau bằng cách chạy các domain riêng biệt và các quy tắc trong chính sách SELinux sẽ định nghĩa cách để tiến trình tương tác với tập tin cũng như tương tác giữa các tiến trình với nhau. Truy cập chỉ được phép nếu tồn tại một quy tắc cụ thể trong chính sách SELinux cho phép thực hiện tiến trình đó.
Làm mịn cơ chế điều khiển truy cập
Tạo cấp bậc nhiều hơn UNIX truyền thống. Trong khi hệ thống UNIX được điều khiển theo ý định của người dùng và dựa vào định danh của người dùng và nhóm người dùng Linux để xác định quyền truy cập thì trong cơ chế SELinux, một quyết định có được phép truy cập hay không phải dựa vào tất cả thông tin sẵn có, ví dụ như người dùng SELinux, role, type...Chính sách SELinux được định nghĩa bởi người quản trị, được thực thi trên toàn hệ thống và không được thiết lập theo ý người dùng.
Giảm thiệt hại bởi các cuộc tấn công leo thang đặc quyền
Khi các tiến trình chạy trong domain, chúng được tách rời nhau, vì các quy tắc trong chính sách SELinux định nghĩa cách các tiến trình truy cập vào tập tin và truy cập vào các tiến trình khác như thế nào, nên nếu một tiến trình bị xâm phạm, thì kẻ tấn công chỉ có quyền truy cập đến các chức năng bình thường của tiến trình đó, còn với các tập tin, tiến trình vẫn được cấu hình để có quyền truy cập. Ví dụ, nếu máy chủ HTTP Apache có một tiến trình bị xâm nhập, thì kẻ tấn công không thể sử dụng tiến trình đó để đọc các tập tin trong thư mục /home của người dùng, trừ khi có một quy tắc cụ thể cho phép truy cập được thêm vào trong chính sách SELinux.
Các dịch vụ hạn chế
Cơ chế SELinux cung cấp khả năng có thể dự đoán trước để giới hạn các dịch vụ và các daemons[20]. Đồng thời, chỉ được phép truy cập khi đó là cần thiết cho hoạt động bình thường của các dịch vụ.
SELinux có thể được sử dụng để thực thi tính bảo mật và toàn vẹn của dữ liệu, cũng như bảo vệ các tiến trình khỏi các đầu vào không tin cậy.
SELinux được thiết kế để tăng cường chứ không phải là thay thế cho các giải pháp bảo mật hiện có
SELinux không phải là phần mềm chống virus, không thể thay thế cho mật khẩu, tường lửa hoặc các hệ thống an ninh khác, cũng không phải là một giải pháp bảo mật ―all-in-one‖. Thậm chí, ngay cả khi chạy SELinux, thì điều quan trọng vẫn là phải tiếp tục thực hiện các hoạt động bảo mật như giữ các phần mềm cập nhật, sử dụng mật khẩu với độ phức tạp cần thiết, tường lửa, …