Irgalmatlanul nehéz: RSBAC-cal és SeLinuxal is egészen jól megoldható. (SeLinuxnál a default szabálybázis helyett kell egy Bell-LaPadula szabálybázis. Nem olyan bonyolult.)
MAC: a DAC és a MAC között pont az a különbség, hogy DAC esetén az adat tulajdonosa döntheti el, hogy mit tesz az adott adattal, míg MAC esetén elsősorban a biztonsági cimkék döntik el, hogy mit tehet az adattal. Ezért (kicsit sarkítva) amit én leírtam az MAC, ami ezt nem tudja, az DAC. Tudom, hogy a grsec-ben ez nincs megoldva, és azt is tudom, hogy nem is cél. Csak arra akartam rávilágítani, hogy a gsrec-ben MAC-nek hívott izé valójában nem MAC.
De ha a MAC-DAC különbségre jobb definíciót tudsz adni, akkor hajrá.