Hát, azért kutatásnak nem nevezném, amit csináltam. Hogy egy klasszikust idézzek: "r=1 vagyok, de ugatok."
A grsecurity fejlesztők szerintem soha nem nyilatkozták azt, hogy a rendszerük biztonsága kisebb lenne a SELinuxénál: http://lists.immunitysec.com/pipermail/dailydave/2007-March/004133.html (szerk: rájöttem, hogy az AppArmorra gondoltál. Jogos.)
Csak a SELinuxot (és talán az RSBAC-ot, de abba nem mentem annyira bele) tartom elfogadhatatlanul bonyolult megoldásnak a fentiek közül, de emberileg simán lehetségesnek tartom, hogy valaki hatékonyan használja, de ahhoz már komoly szakembernek kell lenni. Még azt is el tudom képzelni, hogy bizonyos szituációkban jól jönnek az ilyen bonyolult rendszerek. Az AppArmor és a Grsecurity RBAC rendszere azért tényleg elég durva szemcsézettségű.
Ránéztem pár mondat erejéig a Tomoyo-ra. Lehet valami abban, hogy a Tomoyo "visszaold mindent eredeti pathra", mert a dentry+vfsmount értékekből számolja vissza path-ot. Nem tudom pontosan, mit jelent ez, de az apparmor is ezt csinálja. A grsecurity nem tudom, hogy oldja meg ezt. A Tomoyonál valami olyasmit láttam, hogy "hierarchikus" a policy-je, és a hierarchia annyadik szinten jár, ahányadik processzgenerációt vizsgáljuk a kernelhez képest. Szép, elegáns megoldás, de a grsecurity és az rsbac uid/gid-et is figyelembe vevő biztonsági modelljét nem felesleges bonyolításnak gondolom, hanem a gordiuszi csomó átvágásának, ami éppen hogy leegyszerűsíti a rendszert, és nem értem, miért nem gondoltak rá a többiek.