SELinux 定义了每个人对系统上的应用、进程和文件的访问控制。利用安全策略（一组告知 SELinux 哪些能访问，哪些不能访问的规则）来强制执行策略所允许的访问。 

当应用或进程（称为主体）发出访问对象（如文件）的请求时，SELinux 会检查访问向量缓存（AVC），其中缓存有主体和对象的访问权限。

如果 SELinux 无法根据缓存对权限做出访问决定，它会将请求发送到安全服务器。安全服务器随即检查应用或进程和文件的安全环境，确认其是否匹配 SELinux 策略数据库的安全环境。之后便根据检查授予权限或拒绝。 

如果被拒绝，/var/log.messages 中将会显示消息"avc: denied"。

您可以通过多种方式来配置 SELinux，以保护您的系统。最常见的是目标策略或多级安全防护（MLS）。

目标策略为默认选项，它涵盖了多种流程、任务和服务。MLS 则极为复杂，通常只有政府机构才会使用。 

您可以查看 /etc/sysconfig/selinux 文件，以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制模式还是处于禁用状态，以及要加载哪个策略。

类型强制访问控制和标签是 SELinux 中最为重要的两个概念。

SELinux 可作为标签系统运行，也就是说，系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分类。在启动过程中，内核负责管理标签。

标签的格式为 user:role:type:level（level 为可选项）。User、role 和 level 用于类似 MLS 的更高级的 SELinux 实施中。标签类型对于目标策略而言最为重要。 

SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分，它定义了特定类型的进程能否访问标记为特定类型的文件。

如果您的环境中禁用了 SELinux，则可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用，因此最好不要将其设为立即强制执行，因为此时系统可能会出现误标记的事件，它会妨碍系统的正常启动。  

您可以在根目录中创建名为 .autorelabel 的空文件，然后重新启动，以此来强制系统自动重新标记文件系统。如果系统中错误过多，应在允许模式下重新启动，以确保启动成功。重新标记所有内容后，利用 /etc/selinux/config 将 SELinux 设置为强制模式并重新启动，或运行 setenforce 1。

如果系统管理员不太熟悉命令行，还可以选择用于管理 SELinux 的图形工具。 

针对 Linux 发行版中内置的系统，SELinux 提供了一道额外的防护层。保持开启 SELinux，就能在系统遭到破坏时保护您的系统。