SELinux是替代还是补充DAC？

Question

SELinux的基本前提似乎是控制哪些活动系统允许每个用户、进程和守护进程，在允许的集合之外的所有东西都是默认的块。

这是否意味着SELinux有效地取代了传统的DAC，或者DAC仍然扮演着首要的角色？

Answer 1

SELinux是对DAC的补充，是对DAC的一种增强。一个可选的附加的DAC。它是发援会的一个补丁，旨在应对各种现代挑战。发援会很老，需要大修。在实践中，SELinux位于DAC的下方。因此，首先强制使用DAC，然后强制执行SELinux。这意味着SELinux最终优先。SELinux确实覆盖DAC，这取决于您如何看待它。您可以使用SELinux来阻止本来由DAC允许的访问，但不能使用SELinux来允许否则会被DAC阻止的访问。

Answer 2

SE Linux实现了强制访问控制，以及与DAC并行工作的可信路径和其他一些东西。如果您具有对例如foo.txt的读取权限，则还必须具有允许您访问foo的MAC级别和类别。从某种意义上说，它可以覆盖DAC，但是DAC可以覆盖MAC，因此您可以支付您的钱，您可以选择。

它是为一个特定的保密模型编写的:它可以也可以用于其他模型，例如约束守护进程和不受信任的进程。