Démoni běžící s právy superuživatele prošli revizí a záplatováním tak, aby běželi se schopnostmi nižších procesů. Snižuje to vhodnost použití těchto démonů k navýšení oprávnění. Navíc povolení shadow souboru byla změněna na 000 a u několika adresářů v $PATH na 555 s cílem zabránit démonům bez DAC_OVERRIDE ve schopnosti přístupu k shadow souboru nebo zápisu do adresářů v $PATH.

Při útoku na systém, nemůže utočník provádět normálně mnoho věcí, dokud nenavýší oprávnění. Tato vlastnost omezuje počet cílů útoku, které mohou být použity k navýšení oprávnění. Pokud procesy superuživatele nemají všechny schopnosti, bude težší je využít k poškození systému.

Procesy s uid superuživatele mohou stále poškodit systém, neboť mohou zapisovat do téměř každého souboru a samozřejmě číst /etc/shadow file. Nicméně, pokud je systém vystužen tak, aby superuživatel vyžadoval schopnost DAC_OVERRIDE, pak pouze omezený počet procesů může poškodit systém. Tato schopnost nemá vliv na žádné možnosti správce, neboť ti obdrží plná oprávnění, vč. DAC_OVERRIDE. Proto, i když někdo provede úspěšný útok na superuživatelský proces, je pro něho nyní těžší mít užitek z tohoto útoku.

Vyztužený systém by mohl mít např. oprávnění: 555 /bin, 555 /lib, 000 /etc/shadow, atd. Současná působnost pokrývá adresáře v proměnné $PATH, knihovní adresáře, /boot, a /root. Toto schéma žádným způsobem neovlivňuje SELinux a naopak ho doplňuje, neboť schopnosti jsou DAC kontrolami a mají první slovo při povolování přístupu.

SELinux sandbox umožňuje spustit příkaz v omezeném prostředí. Bohužel je velmi obtížné aplikovat sandbox na programy pro grafické prostředí, i když by to bylo nejvíce potřeba.

Nový příkaz sandbox -X umožňuje spustit mnoho grafických aplikací v omezeném prostředí. Uzamčením webových aplikací může uživatel zvýšit vlastní bezpečnost. Lze například omezit spuštění OpenOffice z webové aplikace, avšak při běžném spuštění přímo uživatelem OpenOffice omezen nebude.

Pokud je grafická aplikace spuštěna v sandboxu SELinuxu, může přistupovat pouze k omezené adresářové struktuře, která je po ukončení smazána, je zakázán přístup k počítačové síti a běží v izolovaném X serveru, což jí znemožňuje kontakt s ostatními X aplikacemi.