LSMに複数のモジュールを追加したいと言う人が、最近、少しコミュニティのMLを賑わせているようだ。
一週間ほど前には「Current/Future Plans to Support Stacking LSM Modules」というサブジェクトでメールを投げてきた人がいた。
http://marc.theaimsgroup.com/?l=selinux&m=116922228723711&w=2

２年ほど前に、IBMのSerge君(VFS Capabilityの彼)が同じようなアイデアで作っていたモノを蒸し返されたりもしたが、結局、誰も使わないしそんなの不要、ということで却下されたらしい。
Linux Kernel Summitで、この件に関しては珍しくSELinuxネ申もAppArmorネ申も意見が一致したそうな。
結局、Linux capabilityをモジュール実装するのに最低限必要な機能だけが、SELinuxのsecondary_opsとして追加できるようになっている。

で、今朝MLを見てみたら、同じく「SELinux and LSM chaining.」というサブジェクトで、capability向けのsecondary_opsが全てのフックで有効でない（capabilityモジュールに必要なフックでしかsecondary_opsを評価しない）ということにクレームをつけた人が。
http://marc.theaimsgroup.com/?l=selinux&m=116958493031461&w=2

気になるのが、このメールを投げてきた人。
@McAfee.com の人ってことで、マカフィー社が何かLSMを使った新製品を検討中なのだろうか。

ワクテカ