Как SELinux понимает и определяет сущности системы и возможные действия с ними (файлы, папки и т д)?

В чем суть. В главном файле политики (sepolicy) и его исходнике sepolicy.cil необходимо явно описывать сущности ("классы") системы и действия с ними. Вот пример с файлом:

 ~ # cat /system/etc/selinux/plat_sepolicy.cil
...
(class dir (add_name remove_name reparent search rmdir ))
...

Странно, что вообще приходится явно описывать классы и действия с ними, разве это не должно быть зашито в ядре Linux? Просто когда я загрузил Debian Live USB с параметром ядра lsm=selinux и глянул в /sys/fs/selinux/class, данная папка оказалась... пустой. Т е из этого следует, что классы и действия с ними необходимо описывать явно в политике. Вопрос: как вообще это работает? Не следует ли из этого, что можно описать свои сущности и действия с ними, и как их описать?