2.3. SELinux アーキテクチャー
SELinux は、Linux カーネルに組み込まれた Linux セキュリティーモジュールです。SELinux は、ロード可能なポリシールールで駆動しています。プロセスがファイルを開こうとするといったセキュリティー関連のアクセスが発生すると、その操作は SELinux がカーネルで傍受します。SELinux ポリシールールがこの操作を許可するとそのまま続けられますが、許可しないとこの操作は遮断され、プロセスはエラーを受け取ります。
アクセスを許可する/許可しないといった SELinux の決定は、キャッシュされます。このキャッシュは、AVC (アクセスベクターキャッシュ) と呼ばれます。決定をキャッシュすることで、SELinux ポリシールールをチェックする頻度が減り、その結果、パフォーマンスが向上します。DAC ルールが最初にアクセスを拒否すると SELinux ポリシールールは影響しないことに留意してください。