Daemons die als root draaien zijn herzien en gecorrigeerd om met lagere proces mogelijkheden te draaien. Dit vermindert de wenselijkheid om deze deamons te gebruiken voor rechten escalatie. Bovendien zijn de schaduw bestand rechten veranderd naar 000 en verschillende mappen in $PATH zijn ingesteld op 555 om te voorkomen dat daemons zonder DAC_OVERRIDE in staat zijn toegang te krijgen tot het schaduw bestand of kunnen schrijven naar de $PATH mappen.

Als iemand een systeem aanvalt, kan hij normaal niet veel doen behalve als hij rechten kan escaleren. Deze kenmerk vermindert het aantal aanval doelen dat gebruikt kan worden voor rechten escalatie. Als root processen niet alle rechten hebben, zijn ze moeilijker te gebruiken om het systeem in gevaar te brengen.

Processen met de root uid kunnen een systeem nog steeds beschadigen, omdat ze naar bijna elk bestand kunnen schrijven en natuurlijk het /etc/shadow bestand kunnen lezen. Als echter het systeem versterkt wordt zodat root het DAC_OVERRIDE vermogen nodig heeft, zijn er slechts een beperkt aantal processen die het systeem kunnen beschadigen. Dit zal geen enkele beheer mogelijkheid beïnvloeden omdat die altijd volledige rechten krijgen waarvan DAC_OVERRIDE onderdeel is. Daarom, zelfs als iemand een root proces met succes aanvalt, is het nu moeilijker voor hem om voordeel uit deze aanval te halen.

Een versterkt systeem zal rechten hebben zoals: 555 /bin, 555 /lib, 000 /etc/shadow enzovoort. Het huidige werkingsgebied is het omvatten van de mappen in de $PATH variabele, bibliotheek mappen, /boot, en /root. Deze aanpak beïnvloedt SELinux op geen enkele manier en vult het aan omdat de mogelijkheden DAC controles zijn en zij de eerste keuze hebben om een toegang toe te staan.

De SELinux zandbak laat een commando draaien op zeer beperkte manier. Helaas is de wezen van GUI toepassingen zodanig dat het erg moeilijk is om deze mogelijkheid te gebruiken voor toepassingen die het het meest nodig hebben.

Een nieuw sandbox -X commando staat toe dat vele GUI toepassingen sterk beperkt worden. Door dit toe te passen binnen sommige web toepassingen, kan een gebruiker bijvoorbeeld opgeven dat Open Office normaal moet draaien als het gestart wordt door een gebruiker, maar dat het beperkt moet worden als het gestart wordt vanaf het web.

Als het draait in een SELinux zandbak, kan een GUI toepassing alleen toegang krijgen tot een beperkte map structuur die bij het verlaten vernietigd wordt, krijgt het geen toegang tot het netwerk, en draait het op een geïsoleerde X-server, wat het belet om toegang te krijgen tot andere X toepassingen.