SELinux en AppArmor zijn Mandatory Access Control (MAC)-systemen die een extra beveiligingslaag bieden bovenop de standaard Linux-permissies.
Standaard permissies zijn Discretionary Access Control (DAC) — de eigenaar van een bestand beslist wie er toegang toe heeft. Als een proces gekaapt wordt, kan het alles wat de eigenaar mag. MAC beperkt wat een proces mag doen, ongeacht de eigenaar.
Ontwikkeld door de NSA, standaard op Fedora, RHEL en CentOS. Elk proces en bestand krijgt een context (label). Beleid bepaalt welke context toegang heeft tot welke andere context.
getenforce # Enforcing / Permissive / Disabled
sestatus # uitgebreide status
ls -Z bestand.txt # SELinux-context tonen
Eenvoudiger dan SELinux, standaard op Ubuntu en Debian. Werkt met profielen per applicatie die in leesbare tekst zijn geschreven.
aa-status # actieve profielen
aa-enforce /etc/apparmor.d/* # profielen afdwingen