Os serviços que são executados como root foram revistos e modificados para o fazerem com menores capacidades. Isto reduz a tentação de serem utilizados para escalada de privilégios. Adicionalmente, as permissões do arquivo shadow foram alteradas para 000 e vários diretórios em $PATH foram alterados para 555 para impedir que serviços sem DAC_OVERRIDE possam acessar o arquivo shadow ou escrever nos diretórios $PATH.

Quando alguém ataca um sistema, normalmente não podem fazer muito, a não ser que consigam escalar privilégios. Esta característica reduz o número de alvos que podem ser utilizados para escalar privilégios. Se os processos de root não têm todas as capacidades, eles serão mais difíceis de utilizar para subverter o sistema.

Processos com o uid de root ainda podem danificar o sistema, porque eles podem escrever literalmente em todos os arquivos, e claro, ler o arquivo /etc/shadow file. Contudo, se o sistema for fortificado para que o root necessite da capacidade DAC_OVERRIDE, então apenas um número limitado de processos pode danificar o sistema. Isto não irá afetar nenhuma capacidade de administração porque eles recebem sempre privilégios totais, o que inclui DAC_OVERRIDE. Portanto, mesmo que alguém consiga atacar um processo de root com sucesso, agora está protegido para que eles possam tirar partido deste ataque.

Um sistema protegido teria permissões como: 555 /bin, 555 /lib, 000 /etc/shadow e assim por diante. O âmbito corrente é abranger os diretórios variáveis em $PATH, diretórios de bibliotecas, /boot, e /root. Este esquema não afeta o SELinux de nenhuma forma e complementa-o, uma vez que estas capacidades são controles DAC e têm direito ao primeiro voto na permissão de acessos.

The SELinux sandbox allows a command to be run in a highly constrained fashion. Unfortunately, the nature of GUI applications is such that it is very difficult to use this capability on those applications that need it most.

A new sandbox -X command allows many GUI applications to be tightly constrained. By applying this within some web applications, a user may specify, for example, that Open Office should run normally when invoked by the user, but should be constrained when invoked from the web.

When run from the SELinux sandbox, a GUI application may only access a limited directory structure which is destroyed on exit, is denied access to the network, and runs in an isolated X-server, which prevents it from accessing other X applications.