Demoner som kör som root har gåtts igenom och ändrats för att kära med lägre processkapabiliteter. Detta begränsar begäret att använda dessa demoner för privilegiehöjning. Dessutom har filrättigheterna på skuggfilen ändrats till 000 och flera kataloger i $PATH har satts till 555 för att förhindra demoner utan DAC_OVERRIDE från att kunna komma åt skuggfilen eller skriva till katalogerna i $PATH.

När någon attackerar ett system kan de normalt inte göra så mycket om de inte kan höja sina privilegier. Denna funktion reducerar antalet attackmål som kan användas för att höja privilegier. Om root-processer inte har alla kapabiliteter blir de svårare att använda för att underminera systemet.

Processer med root-uid kan fortfarande skada ett system, eftersom de kan skriva till nästan vilken fil som helst och naturligtvis läsa filen /etc/shadow. Dock, om systemet härdas så att root behöver kapabiliteten DAC_OVERRIDE kan endast ett begränsat antal processer skada systemet. Detta kommer inte påverka några administrativa möjligheter eftersom de alltid får fullständiga priviligier vilka inkluderar DAC_OVERRIDE. Därför är det nu, även om någon lyckas attackera en root-process, svårare för dem att dra nytta av denna attack.

Ett härdat system skall ha rättigheter som: 555 /bin, 555 /lib, 000 /etc/shadow och så vidare. Den aktuella ambitionsnivån är att täcka katalogerna i variabeln $PATH, bibliotekskataloger, /boot och /root. Detta schema påverkar inte SELinux på något sätt och utgör ett komplement till det eftersom kapabiliteter DAC-styrning och de har första ordet när det gäller att tillåta en åtkomst.

SELinux-sandlådan låter ett kommando köras på ett mycket begränsat sätt. Tyvärr är grafiska program av sin natur sådana att det är mycket svårt att använda denna egenskap på dessa program som behöver det mest.

Med ett nytt kommando sandbox -X kan grafiska program begränsas hårt. Genom att använda detta i några webbtillämpningar kan en användare ange, till exempel, att Open Office skall köra normalt när anropat av användaren, men att den skall vara begränsad när den anropas från webben.

När det körs från en SELinux-sandlåda kan ett grafiskt program endast komma åt en begränsad katalogstruktur som förstörs vid avslut, nekas åtkomst till nätverket, och köra i en isolerad X-server, vilket hindrar det från att komma åt andra X-program.