• プロセスからリソースへのアクセス権限を制御する機能。
• プロセスやリソースへのアクセス権を最小限にすることにより攻撃者からの被害を最小限に抑える。

• プロセスとそのプロセスが利用するリソースにラベルを割り当てる。

• プロセスに割り当てられたラベルをドメインという。

• リソースに割り当てられたラベルをタイプという。

• リソースに対して行える操作の種類
• 各リソースはファイルやディレクトリ、ソケット等オブジェクトタイプごとにアクセス・ベクタが割り当てられる

• 実行中のプロセスに割り当てられたドメインを表示するには、ps コマンドに「Z」オプションを使用する。
• 下の「init_t」 「kernel_t」がドメイン。

> ps -eZ
LABEL                             PID TTY          TIME CMD
system_u:system_r:init_t            1 ?        00:00:01 init
system_u:system_r:kernel_t          2 ?        00:00:00 migration/0
   :
   : 

• リソースに割り当てられたタイプを表示するには、ls コマンドに「Z」オプションを使用する。
• 下の「httpd_sys_content_t」 がタイプ。

>ls -ilZ /var/www/html
-rw-r--r--  root root user_u:object_r:httpd_sys_content_t index.php