Russellより、ファイルパーミッション統合について問題を指摘される。
Simplified policyでは，
ファイル関連のオブジェクトクラスをひとつとして扱っている。
デバイスファイル（chr_file,blk_file）をも普通のファイルと同じとして
扱うことについて問題を指摘される。
Simplified poilcyでは、allowpriv devcreate
と記述しない限り、デバイス生成を許可されない。これでも問題があるとか。
具体例：

• udevのようなプログラムはデバイス生成を行う。
• udevにallowpriv devcreateを許可。
• udevが、他のプロセスからも読めるファイルに書き込み権限を持っているとする。
  • 簡単のため次のようになってるとする
    • /tmpにudev 書き込み可
    • /tmpに他のプロセス読み込み可
• 攻撃者が何らかの手段で、udevに/tmpにデバイスを作成させる
• 他のプロセスも、udevが作成した/tmp以下のデバイスを読み込み可能。情報漏洩が起こる可能性

確かに、これを防ぐには/tmpには
「オブジェクトクラスfileのみ作成可」と設定できるようにしなくてはいけない。
やっぱり，詳細設定記法がいるなぁ。
が、ここまでセキュリティを突き詰めてもユーザには分かってもらえないだろうなぁ。難しいところ。
機能が優れていても負ける場合があるのは、良く聞く話だし。

なんとなくだが、SELinuxのセキュリティをユーザ（というより政府？）に
分かってもらうために、
本場の人々はCommon Criteriaを利用しようとしてる気がする。
他のセキュアOSだとCCの要求を達成できないことがあるとか。