Megnéztem, Tomoyo esetében is ugyanaz a helyzet: hardlink-et és bind-ot nem bontja vissza az eredeti path-ra, chroot-ot viszont igen.
Na de hiába a hardlink, annyiból akkor már le is másolhatnám az eredeti binárist. Más path-ra már más policy fog vonatkozni. Ha nem szerepel a domain szabályai között egy "allow_execute" ahhoz az új path-hoz, nem tudja futtatni. A régi binárist pedig nem lehet felülírni hardlink-kel (amely egy új path-ra mutat), mert eleve nincs is a saját binárisához olvasási vagy írási engedély, maximum "allow_execute"-ok vannak futtatható binárisokhoz.
Egyedül a bind-ot érzem gáznak, mert ott létező mappát is felül mount-olhatunk úgy, hogy ugyanaz-on a path-on már más tartalom látszik. De épp a fenti miatt a bind-ot sem lehet mount-olni, ha nincs hozzáférése a bin mappákhoz - még ha root joggal is fut az adott process.
Később letesztelem még a bind-ot C-ből.
Mindenesetre érdekes lenne egy olyan tanulmány (ha létezik), amely bemutatna egy ilyen egyszerű kikerülési módot a path alapú MAC rendszerekhez - ha egyáltalán tényleg megoldható - amit természetesen úgy értek, hogy minden esetben. Ha megengedem a domain-nek hogy felmount-olja az általa futtatott binárisainak mappáját bind-dal, akkor ne csodálkozzunk.