8     7 system_u:system_r:init_t            [khubd]    

9     7 system_u:system_r:init_t            [kjournald]  

920    345 system_u:system_r:syslogd_t      syslogd -m 0  

942    367 system_u:system_r:klogd_t            klogd -x

1012   423 system_u:system_r:gpm_t            gpm -t ps/2 -m /dev/mouse

Как видите, в выводе программы добавились два столбца: цифра SID (Security IDentifier tag) – метка идентификатора защитный и ассоцииативный пользователь, роль и тип для отображаемого процесса в формате user:role:domain или user:role:type. Каждый процесс должен иметь свой собственный отдельный домен. Если некоторые системные процессы функционируют в домене initrc_t , то либо он не был передвинут в отдельный домен, или, скорее всего, в файле ./selinux/policy/file_contexts/{types.fc,program/*.fc} путь к выполняемой программе указан неправильно. В любом случае необходимо запретить выполняться процессам в домене initrc_t. Процесс администратора должен иметь тождественного пользователя и sysadm_r роль, shell и большинство его дочерних процессов будут иметь sysadm_t домен. Некоторые из выполняемых процессов одного пользователя могут быть в различных доменах, так же они требуют различных привилегий. Аналогично изменился вывод команды ls, которая теперь дополнительно показывает контекстные метки для файлов.

[root@grinder /]# ls -l –context

drwxr-xr-x root root system_u:object_r:bin_t                bin

drwxr-xr-x root root system_u:object_r:boot_t               boot

drwxr-xr-x root root system_u:object_r:device_t             dev

drwxr-xr-x root root system_u:object_r:etc_t                etc