Quando o SELinux é instalado em um sistema, suas regras são aplicadas antes ou depois das permissões padrão do Linux? Por exemplo, se um usuário linux não-root tentar gravar em um arquivo com permissão do linux -rw------- root root , as regras do SELinux serão verificadas primeiro ou as permissões padrão do sistema de arquivos serão aplicadas e o SELinux nunca será invocado?
Eu vejo os termos para procurar agora são MAC e DAC. DAC é o sistema de permissão padrão. MAC é o sistema usado pelo SELinux.
A resposta para citar uma fonte é:
It is important to remember that SELinux policy rules are checked after DAC rules. SELinux policy rules are not used if DAC rules deny access first.
Este diagrama mostra:
Referências: