Demony uruchomione jako root zostały przejrzane i załatane, aby działać z niższymi uprawnieniami. Zmniejsza to szansę ich użycia do eskalacji uprawnień. Dodatkowo uprawnienia pliku shadow zostały zmienione na 000, a kilka katalogów w $PATH zostało ustawionych na 555, aby powstrzymać demony bez DAC_OVERRIDE przed potencjalnym dostępem do pliku shadow lub zapisem do katalogów $PATH.

Po zaatakowaniu systemu zwykle nie można wyrządzić większych szkód, chyba że dojdzie do eskalacji uprawnień. Ta funkcja zmniejsza liczbę celów, których można użyć do eskalacji uprawnień. Jeśli procesy roota nie posiadają wszystkich uprawnień, trudniejsze będzie użycie ich do uszkodzenia systemu.

Procesy z UID roota mogą ciągle uszkodzić system, ponieważ mogą one zapisywać do prawie każdego pliku i oczywiście odczytywaćplik /etc/shadow. Jednak jeśli system jest zabezpieczony w taki sposób, aby root wymagał możliwości DAC_OVERRIDE, tylko ograniczona liczba procesów może uszkodzić system. Nie ma to wpływu na możliwości administratora, ponieważ oni zawsze otrzymują pełne uprawnienia, włączając w to DAC_OVERRIDE. Zatem nawet jeśli ktoś z powodzeniem zaatakuje proces roota, trudniejsze jest wykorzystanie tego ataku.

Zabezpieczony system powinien posiadać uprawnienia typu: 555 /bin, 555 /lib, 000 /etc/shadow i tak dalej. Obecnie zabezpieczono katalogi w zmiennej $PATH, katalogi bibliotek, partycje /boot i /root. Ten schemat nie wpływa w żaden sposób na SELinuksa, ale uzupełnia go, ponieważ te uprawnienia należą do DAC i są sprawdzane jako pierwsze przy udzielaniu dostępu.

Piaskownica SELinuksa umożliwia wykonanie polecenie w mocno ograniczonym środowisku. Niestety z natury programów graficznych wynika, że bardzo trudno jest użyć tej możliwości w tych aplikacjach, które najbardziej tego potrzebują.

Nowe polecenie sandbox -X umożliwia znaczne ograniczenie wielu aplikacji graficznych. Przez zastosowanie tej funkcji w aplikacji WWW użytkownik może na przykład określić, że OpenOffice.org będzie uruchamiane normalnie, jeśli zostało przywołane przez użytkownika, ale powinno być ograniczone podczas wywołania z sieci.

Podczas uruchamiania z piaskownicy SELinuksa aplikacja graficzna ma dostęp tylko do ograniczonej struktury katalogów, która zostanie usunięta po zakończeniu pracy, nie ma dostępu do sieci i jest uruchamiana w odizolowanym serwerze X, co uniemożliwia jej dostęp do innych aplikacji X.