Ugye Tomoyo a process "szempontjából" rögzíti a műveletet. Tehát ha a firefox folyamat olvas egy fájlt, akkor létrehozza az
allow_read /path/to/filebejegyzést. Az ecryptfs esetében láttam csak azt, hogy -gondolom a titkosítást átfordító block eszköz miatt- a lemezen lévő titkosított fájlt is bejegyezte. Ez speciel nem tudom miért van, tervezek írni a fejlesztőnek 1-2 napon belül, csak végig kell gondolnom, meg persze kell még tesztelés.
De érdekes módon pl. EncFS-nél nem jön létre a feloldott fájl mellett a titkosított fájl path-ja a szabályok között. Arra tippelnék, hogy a loop-nál sem. Tesztelni kellene.
Nem lenne kedved / időd / energiád 12.1 dev-en tesztelgetni ezzel kapcsolatban?
(A többi funkció már elég jó imho, csak ez most új és jó lenne kiküszöbölni durva logikai hibákat vagy működésbeli félreértelmezéseket, mielőtt kiadnám az első stabil verziót.)
Ha tesztelnéd, akkor elég lenne a telepítés után pl. Firefox-al szórakozni, és nézni a begyűlött szabályokat:
sudo tomld -c -i firefoxEnnyi, többet nem is kellene ráfordítani.
Szerk.: az opensuse telepítő script-emben pedig már az általad javasolt bootloader-es megoldást használom és működik ;)