API

Il MAC di SELinux opera in modo del tutto trasparente con le applicazioni e gli utenti. Le decisioni di etichettamento dell'architettura Flask forniscono un appropriato comportamento di default, così le esistenti chiamate alle API di Linux possono essere non modificate. Il MAC è visibile solo alle applicazioni e agli utenti in seguito ad accessi falliti, nei quali casi ritorna i normali codici di errore di Linux.
Comunque, ciascun sottosistema del kernel di SELinux fornisce un insieme di nuove chiamate API che estendono quelle già esistenti con parametri addizionali per i SID.
Il sottosistema di gestione dei processi fornisce chiamate per ottenere il corrente e vecchio SID di un processo, e una chiamata per eseguire un programma con uno specificato SID. Il sottosistema del filesystem fornisce le chiamate per creare files con particolari SID, chiamate per ottenere i SID di files e filesystems e chiamate per cambiare i SID di files e filesystems. Il sottosistema socket IPC fornisce chiamate per creare sockets e messaggi con particolari SID, chiamate per ottenere i SID di sockets e messaggi, e chiamate per specificare il desiderato SID per i peer sockets.