設計原由

1. 自主式存取控制(Discretionary Access Control, DAC)
   1. 傳統的檔案權限與帳號關係：依據程序的擁有者與檔案資源的rwx權限來決定有無存取的能力。
   2. 若該程序屬root權限，則其可在系統上進任何資源存取。
   3. 若某個目錄權限為777，則任何帳號的程序都可任意存取及寫入。
2. 系統出現問題
   1. 內部員工的資源誤用遠高於外部攻擊。
   2. 員工資源誤用：系統管理員為了自己方便，將防火牆完全關閉或某個檔案目錄的權限設定為777。
   3. 為控管員工資源誤用問題，美國國家安全局(NSA)開發安全增強式Linux（SELinux, Security-Enhanced Linux）模組，並整合到Linux核心。
   4. SELinux是一種強制存取控制（mandatory access control, MAC）的實現。
3. 強制存取控制
   1. 針對特定的程序與特定的檔案資源進行權限的控管。
   2. WWW server啟動的程序為httpd，selinux預設僅能在/var/www目錄下存取檔案。