Os serviços que correm como root foram revistos e modificados para o fazerem com menores capacidades. Isto reduz a tentação de serem utilizados para escalada de privilégios. Adicionalmente, as permissões do ficheiro shadow foram alteradas para 000 e vários directórios em $PATH foram alterados para 555 para impedir que serviços sem DAC_OVERRIDE possam aceder ao ficheiro shadow ou escrever nos directórios $PATH.

Quando alguém ataca um sistema, normalmente não podem fazer muito, a não ser que consigam escalar privilégios. Esta característica reduz o número de alvos que podem ser utilizados para escalar privilégios. Se os processos de root não têm todas as capacidades, eles serão mais difíceis de utilizar para subverter o sistema.

Processos com o uid de root ainda podem danificar o sistema, porque eles podem escrever literalmente em todos os ficheiros, e claro, ler o ficheiro /etc/shadow. Contudo, se o sistema for fortificado para que o root necessite da capacidade DAC_OVERRIDE, então apenas um número limitado de processos pode danificar o sistema. Isto não irá afectar nenhuma capacidade de administração porque eles recebem sempre privilégios totais, o que inclui DAC_OVERRIDE. Portanto, mesmo que alguém consiga atacar um processo de root com sucesso, agora está protegido para que não se possa tirar partido deste ataque.

Um sistema protegido teria permissões como: 555 /bin, 555 /lib, 000 /etc/shadow e assim por diante. O âmbito corrente é abranger os directórios variáveis em $PATH, directórios de bibliotecas, /boot, e /root. Este esquema não afecta o SELinux de nenhuma forma e complementa-o, uma vez que estas capacidades são controles DAC e têm direito a voto primeiro ao permitir acessos.

A SELinux sandbox (caixa-de-areia?) permite que um comando se execute de forma muita restrita. Infelizmente, a natureza das aplicações gráficas é tal que é muito difícil utilizar esta capacidade nas aplicações que mais necessitam dela.

Um novo comando sandbox -X permite que muitas aplicações gráficas sejam fortemente restringidas. Ao aplicar este conceito a algumas aplicações web, um utilizador pode especificar, por exemplo, que o Open Office deve executar normalmente quando invocado pelo utilizador, mas deve ser restringido quando invocado via web.

Quando executada na SELinux sandbox, uma aplicação gráfica só pode aceder a uma estrutura de directórios limitada, que é destruída ao terminar. É negado o acesso à rede, e executa num servidor X isolado, o que a previne de aceder a outras aplicações X.