Você pode ver o SELinux como um firewall de chamadas do sistema : Uma política para cada aplicativo especifica o que é razoável para o aplicativo: O servidor de nomes pode escutar na porta 53, trabalhar com alguns arquivos de zona um diretório em particular, envie syslog, ..., mas não faz sentido tentar trabalhar com arquivos em / home, por exemplo. A aplicação de tal política pelo SELinux significa que será muito mais difícil que uma fraqueza no servidor de nomes se espalhe para outras partes do sistema.
Acho que o SELinux fornece um valor real de segurança. Mas embora certamente tenha sido mais fácil trabalhar com o passar dos anos, é - infelizmente - ainda um sistema bastante complexo. A coisa boa é que você pode facilmente desativá-lo para alguns serviços, sem ter que desativá-lo para todo o sistema. Muitos administradores do junior do SELinux (júnior?), Assim que se deparam com o menor problema com um serviço - em vez de seletivamente desligá-lo para o serviço, causando problemas.