Правила SELinux применяются до или после стандартных разрешений linux?

Когда SELinux установлен в системе, применяются ли его правила до или после стандартных разрешений linux? Например, если пользователь root-пользователя, не являющийся корневым пользователем, пытается записать файл с разрешением linux -rw------- root root , сначала будут проверяться правила SELinux или будут применяться стандартные разрешения файловой системы, а SELinux никогда не будет вызван?

Я вижу, что условия для поиска – это MAC и DAC. ЦАП является стандартной системой разрешений. MAC – это система, используемая SELinux.

Ответ на цитату из одного источника:

Важно помнить, что правила политики SELinux проверяются после правил ЦАП. Правила политики SELinux не используются, если правила DAC запрещают доступ в первую очередь.

Эта диаграмма показывает:

схема интеграции selinux systemcall

Рекомендации:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html