このところ、開発以外の仕事ばっかで、全然SELinuxを追えていない。。
KaiGaiさんが教えてくれたトピック。
http://www.selinux.gr.jp/selinux-users-ml/200706.month/1912.html
こういったことは、SELinux OFFにする人から見ると怒りなんだろうか。

以下は、微妙に違う気がするが。。。
SEEditで、パーミッション統合する際、
「MACのほうがDACより細かく設定できるので、DAC関連のSELinuxパーミッションは全部allow」
という方針を採ったことがあったが、そんなものか？
つまり「SELinuxを使ってるなら、アクセス制御はSELinuxだけで十分だろう」、ということ。
例えば、SELinux側でのcapability dac_overrideチェックは、いらん！とか。