I demoni in esecuzione come root sono stati revisionati e aggiornati per essere eseguiti con minori capabilities di processo. Ciò riduce l'appetibilità dell'utilizzo di tali demoni per una escalation di privilegi. Inoltre, i permessi del file shadow sono stati cambiati in 000 e molte cartelle in $PATH sono state impostate a 555 per prevenire che i demoni senza DAC_OVERRIDE siano in grado di accedere al file shadow oppure che possano scrivere nelle cartelle nel $PATH.

Quando qualcuno attacca un sistema, normalmente non può fare molto fintanto che non gli è possibile scalare i privilegi. Questa caratteristica riduce il numero degli obbiettivi di attacco che possono essere usati per scalare i privilegi. Se i processi di root non hanno tutte le capabilities, sarà più difficile usarli per sovvertire il sistema.

I processi con uid di root possono ancora danneggiare un sistema, siccome possono scrivere su quasi tutti i file e possono leggere il file /etc/shadow. Comunque, se il sistema è impostato in modo che root richieda le funzionalità DAC_OVERRIDE, allora solo un certo numero di processi può danneggiare il sistema. Ciò non compromette nessuna funzionalità di root siccome si ottengono sempre i pieni privilegi inclusi DAC_OVERRIDE. Quindi, anche se qualcuno riesce ad attaccare con successo un processo di root, ora è più difficile trarre vantaggio da questo attacco.

Un sistema più sicuro dovrà avere permessi come: 555 /bin, 555 /lib, 000 /etc/shadow e cosi via. L'obbiettivo attuale è quello di coprire le cartelle nella variabile $PATH, le cartelle di librerie, /boot, e /root. Questo schema non coinvolge SELinux in alcun modo e lo complementa visto che le capabilities sono controlli DAC e quindi vengono usati come primo controllo di accesso.

The SELinux sandbox allows a command to be run in a highly constrained fashion. Unfortunately, the nature of GUI applications is such that it is very difficult to use this capability on those applications that need it most.

A new sandbox -X command allows many GUI applications to be tightly constrained. By applying this within some web applications, a user may specify, for example, that Open Office should run normally when invoked by the user, but should be constrained when invoked from the web.

When run from the SELinux sandbox, a GUI application may only access a limited directory structure which is destroyed on exit, is denied access to the network, and runs in an isolated X-server, which prevents it from accessing other X applications.