(1)globalでallowしたものを拒否できる機能

SELinuxでは、
「デフォルト緩めのものをきつくしていく」
という設定ができない(デフォルトdenyだから)ので、
あったほうがいい、とのこと。

これは、allow(ファイル)とallowprivで実現済み。
が、他のものはまだ…

(2) 継承機能

今のsimplified policyは、globalドメインの設定が全てのドメインに引き継がれるようになっている。これでは記述力が弱い。
で、任意のドメインに引継ぎ可能なテンプレートみたいなものがあればいいのでは？こんな感じ？

例：
{
template daemon;
allownet -net;
}
{
domain httpd_t inherits daemon;
allow /var/www r;
}

こうすると、httpd_tに、daemonでされた設定(allownet -net）が引き継がれる。
確かに。globalドメインの不便さは感じていたところ。
globalドメインを無くすと、
「絶対にこのファイルは保護したい」という設定をしにくくなるかも。
その意味で、globalドメインは残したほうがいいかもしれない。
#そういえば、globalドメインは、LIDSから拝借した考え方だった。

継承とマクロのとの違い、という疑問も出てくるかもしれない(そういえばSELinux本家でもそういう話があったなぁ）。m4マクロは任意の書式を許しがち。継承機能は、書式が制限されているので、m4マクロよりユーザインターフェースを作りやすい。

一方、継承の階層を増やしすぎると見通しが悪くなる問題がある(マクロのネストと一緒）。検討の余地が多そう。

OMOさんより、「Simplified Policy」と名乗っている以上、
単純さゆえの制限事項があってもいいのではないか、ということも。
そういえば、先生からも言われた。
「超細かい設定が必要ならばstrictポリシーを使いなさい」
でいいじゃないかとか。