Los demonios que corren como root fueron revisados y parchados para correr con menos capacidades de cprocesamiento. Esto reduce la deseabilidad de usar estos demonios para la escalada de privilegios. Además, los permisos del archivo shadow se cambiaron a 000 y varios directorios en $PATH se pusieron a 555 para evitar que los demonios con DAC_OVERRIDE puedan acceder el archivo shadow o escribir en directorios $PATH.

Cuando alguien ataca un sistema, normalmente no pueden hacer mucho a menos que escalen en los privilegios. Esta característica reduce el número de destinos de ataque que se pueden usar para escalar privilegios. Si los procesos root no tienen todas las capacidades, será más dificil usarlos para subvertir el sistema.

Los procesos con el uid de root pueden todavía dañar el sistema, debido a que pueden escribir casi en cualquier archivo y, por supuesto, leer el archivo /etc/shadow. Sin embargo, si el sistema está protegido para que root necesite la capacidad DAC_OVERRIDE, entonces sólo una cantidad limitada de procesos podrán dañar su sistema. Esto no afectará cualquier habilidad del administrador porque siempre obtienen los privilegios completos que incluyen a DAC_OVERRIDE. Por lo tanto, aún si alguien consiguió atacar con éxito un proceso de root, ahora es más difícil sacar ventaja de ello.

Un sistema asegurado tendría permisos como: 555 /bin, 555 /lib, 000 /etc/shadow y así sucesivamente. El ámbito actual es cubrir los directorios de ka varuabke $PATH, los directorios de bibliotecas, /boot, y /root. Este esquema no afecta a SELinux en ninguna forma y lo complementa dado que sus capacidades son controles DAC y tienen el primer voto en el proceso de permitir el acceso.

El área de trabajo de SELinux permite a un comando ejecutarse en una manera muy limitada. Desafortunadamente, la naturaleza de las aplicaciones gráficas es tal que es muy difícil usar esta capacidad en las que más la necesitan.

Un comando nuevo sandbox -X permite limitar mucho a varias aplicaciones gráficas. Aplicando esto a algunas aplicaciones web, un usuario puede especificar, por ejemplo, que Open Office debe correr normalmente cuando lo invoca el usuario, pero debe ser restringida cuando se invoca desde la web.

Cuando se ejecuta desde el área de trabajo de SELinux, una aplicación gráfica sólo puede acceder a una estructura de directorio limitada, que se destruye al salir, se le niega el acceso a la red, y corre dentro de un servidor X aislado, que evita que pueda acceder a otras aplicaciones X.