1. 訪問控制機制(ACM)
   ACM：即Access Control Mechanism

   ACM為系統管理員提供了一種控制哪些使用者、程序可以訪問不同的檔案、裝置和介面等的一種方式。當需要確保計算機系統或網路安全時，ACM是一個主要的考慮因素。

   ACM主要有以下6種方式：

   1) 自主訪問控制：Discretionary Access Control (DAC)

   2) 訪問控制列表：Access Control Lists (ACLs)

   3) 強制訪問控制：Mandatory Access Control (MAC)

   4) 基於角色的訪問控制：Role-based Access Control (RBAC)

   5) 多級安全：Multi-Level Security (MLS)

   6) 多類安全：Multi-Category Security (MCS)

1.1 自主訪問控制(DAC)
DAC為檔案系統中的物件(檔案、目錄、裝置等)定義基本的訪問控制，即典型的檔案許可權和共享等。此訪問機制通常由物件的所有者來決定。

1.2 訪問控制列表(ACL)
ACL為一個subject(程序、使用者等)可訪問哪些object提供了進一步的控制。

1.3 強制訪問控制(MAC)
MAC是一種安全機制，此安全機制是限制了使用者(subject)對它自己所建立的物件所擁有的“控制級別”。與DAC不一樣，在DAC中，使用者對他們自己的object(檔案、目錄、裝置等)擁有完全的控制權；而在MAC中，對所有的檔案系統objects增加了額外的labels或categories。在subjects(使用者或程序)與objects互動之前，它們必須對這些categories或labels進行合適的訪問(即先要進行許可權判斷)。

   對訪問的控制徹底化，對所有的檔案、目錄、埠的訪問，都是基於策略設定的。這些策略是由管理員設定的、一般使用者是無權更改的。

1.4 基於角色的訪問控制 (RBAC)
RBAC是控制使用者訪問檔案系統objects的一種可先方法。它不是基於使用者許可權進控制， 系統管理員基於商業功能需求建立對應的角色(Roles)，這些角色對object有不同的型別和訪問級別。
與DAC和MAC系統相比，在DAC和MAC系統中，使用者基於它們自己和object的許可權來訪問objects；而在RBAC系統中，在使用者與objects(檔案、目錄、裝置等)互動之前，使用者必須是一個適當組的成員或角色。
從系統管理員的角度看，RBAC更易於通過控制組成員，從而控制哪些使用者可以訪問檔案系統的哪些部分。

  對於使用者只賦予最小許可權。對於使用者來說，被劃分成一些role，即使是root使用者，你要是不在sysadm_r裡，也還是不能實行sysadm_t管理操作的。因為，哪些role可以執行哪些domain也是在策略裡設定的。role也是可以遷移的，但是隻能按策略規定的遷移。 

1.5. 多級安全 (MLS)
Multi-Level Security (MLS)是一個具體的強制訪問控制安全方案。在此方案中，程序被叫做“Subjects”，檔案、目錄、套接字和其它作業系統被動實體被叫做“Objects”。

1.6. 多類安全 (MCS)
Multi-Category Security (MCS) 是一個增強的SELinux，允許使用者標記檔案類別。在SELinux中，MCS是MLSand重用MLS框架的介面卡。