TE (Type Enfocement)

従来の、プロセスを実行するユーザーの権限に依存したアクセスコントロールではなく、プロセス毎に権限を設定してアクセスコントロールを行う機能。これにより、各プロセスは必要最低限の権限でしか動作しなくなるため、"本来意図していないファイルを書き換えてしまう"などの脆弱性をOSレベルで回避できる。
　
内部的には、プロセスに対して「ドメイン」、（ファイルなどの）リソースに対して「タイプ」という属性（ラベル）がそれぞれ与えられる。また、リソースの種類に応じて「オブジェクトタイプ」という属性も存在し、それぞれに対応した「アクセスベクトル（アクセスベクタ）」が割り当てられる。
SELinuxはこれらの属性を利用し、ドメイン毎に各タイプに対し許可するアクセスベクタを設定できる。つまり、プロセス単位でアクセスできるファイルを制限することが可能。　
具体例：

• HttpデーモンであるApacheはドメイン"Httpd"に所属
• HTMLファイルであるindex.htmlはタイプ "httpd_content"、オブジェクトタイプ "file"に所属
• オブジェクトタイプ "file" に対応したアクセスベクトルは "read" , "write" , "lock"の３つ
• ドメイン "Httpd" がタイプ "httpd_content" に対して許可されているアクセスベクトルは "read" のみ

以上で、apacheがindex.htmlを書き換えることを禁止できる。（厳密には、読むことしか許可しなくなる）
　
また、子プロセスに対して異なるドメインを付加する「ドメイン遷移」も実装されており、子プロセスが親プロセスのドメインを継承して不必要な権限を持つことが回避されている。

RBAC Role Based Access Control

こちらはユーザがリソースへアクセスするときの権限を設定するモノ。ユーザ毎に "ロール" という属性が設定され、このロールの範囲内でしかリソースにアクセスできない。これはrootであっても同様で、アクセスコントロールを越えて全権的にあらゆるリソースへアクセス出来るユーザを作らないことを意味する。つまりrootを奪取された場合にも被害が限定的になるということ。
具体的には、httpdの管理はhttpd管理専用のユーザーを、ユーザー管理にはユーザー管理専用のユーザーを、という風に権限を分担することになる。
（まあそれでも、ロールを管理する権限が奪取されれば最終的には全て可能になってしまうわけだが・・・）

MAC Mandatory Access Control:強制アクセス制御

従来のユーザグループとパーミッションによる管理手法「DAC(Discretionary Access Control : 任意アクセス制御)」に対する新たな管理手法。
DACが、ユーザーが自分の所有するファイルならば任意に権限を変化させること（ex 実行権限付加なら$ chmod +xなど）が出来たのに対し、MACはポリシーに基づき全てのユーザーにTEやRBAC等のアクセス制御を強制する。つまり許可されていないロールやアクセスベクトルをユーザーが勝手に付加することが出来ない。よりセキュアな（そして、時にはより不便な）管理手法といえる。