最早期的SELinux是Linux系統(tǒng)一個(gè)增強(qiáng)安全的補(bǔ)丁集，其后為解決每個(gè)系統(tǒng)對(duì)安全的細(xì)節(jié)控制不盡相同的問題，Linux安全框架（LSM， Linux Security Modules）被提出，使SELinux可作為可加載的安全模塊運(yùn)行。

LSM是一個(gè)底層的安全策略框架，Linux系統(tǒng)利用LSM管理所有的系統(tǒng)調(diào)用。SELinux通過LSM框架整合到Linux內(nèi)核中。

當(dāng)用戶進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)，進(jìn)程首先遍歷Linux內(nèi)核現(xiàn)有的邏輯尋找和分配資源，進(jìn)行一些常規(guī)的錯(cuò)誤檢查，然后進(jìn)行DAC自動(dòng)訪問控制。

自主訪問控制（DAC， Discretionary Access Control）

進(jìn)程僅在內(nèi)核訪問內(nèi)部對(duì)象之前，由LSM的鉤子詢問LSM模塊可否訪問，LSM模塊處理該策略問題并回答可以訪問或拒絕訪問。

LSM框架主要包括安全服務(wù)器、客體管理器和訪問向量緩存。LSM模塊架構(gòu)如圖所示。

安全服務(wù)器負(fù)責(zé)策略決定，安全服務(wù)器使用的策略通過策略管理接口載入。

客體管理器負(fù)責(zé)按照安全服務(wù)器的策略決定強(qiáng)制執(zhí)行它管理的資源集。

對(duì)于內(nèi)核，客體管理器可以理解為一個(gè)內(nèi)核子系統(tǒng)，負(fù)責(zé)創(chuàng)建并管理內(nèi)核級(jí)的客體，包括文件系統(tǒng)、進(jìn)程管理和System V進(jìn)程間通信（IPC， Inter-Process Communication）。

訪問向量緩存（AVC， Access Vector Cache）提升了訪問確認(rèn)的速度，并為LSM鉤子和內(nèi)核客體管理器提供了SELinux接口。