SELinuxの場合

/etc/init.d/tomcatに tomcat_init_exec_tというタイプ付与
initrc_t->tomcat_init_exec_t->tomcat_init_t
というドメイン遷移を設定
/usr/bin/javaにjava_exec_tを付与

tomcat_init_t->java_exec_t->tomcat_t
というドメイン遷移を設定
で、めでたくtomcatがtomcat_tドメインで動く

AppArmorの場合

/usr/bin/javaは全部javaプロファイルで動いちゃう？
それか、/etc/init.d/tomcatにプロファイルを設定できれば、
/etc/init.d/tomcatで余計なアクセスをしてるかもしれないが、
/etc/init.d/tomcat -> /usr/bin/javaでプロファイルを継承してＯＫ？

TOMOYO Linuxの場合

/etc/init.d/tomcat->/usr/bin/java
のjavaとして識別されるので、ＯＫ。グレイト。
ですよね。。。

seeditの場合

/etc/init.d/tomcat
にドメインを与え、そのままjavaに継承させる設定が一番楽だが、余計なアクセスを許す。

/etc/init.d/tomcatにドメインAを与え、さらに/usr/bin/javaにドメインBを与え、
A->Bへの遷移設定はできるけど、ちょっと面倒かも。。

うーむ、seeditでも実行履歴ドメイン設定をできるようにしようかなぁ。
domain tomcat_t;
program /etc/init.d/tomcat->/usr/bin/java;
みたいな。