<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-2022-JP"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<br>
<br>
KaiGai Kohei wrote:
<blockquote cite="mid:49D27E6C.5000106@kaigai.gr.jp" type="cite">
  <blockquote type="cite">
    <pre wrap="">I am referring to things like:

mlsconstrain { db_tuple } { use select }
    (( l1 dom l2 ) or
     (( t1 == mlsdbreadtoclr ) and ( h1 dom l2 )) or
     ( t1 == mlsdbread ) or
     ( t2 == mlstrustedobject ));
    </pre>
  </blockquote>
  <pre wrap=""><!---->
I noticed the db_xxx:{use} permission remained here. :-)
  </pre>
</blockquote>
The example I used above is from an older version of the reference
policy.<br>
<blockquote cite="mid:49D27E6C.5000106@kaigai.gr.jp" type="cite">
  <pre wrap="">
  </pre>
  <blockquote type="cite">
    <pre wrap="">where t1 == mlsdbread seems to imply an object is trusted to read 
strictly dominating objects. Unless I am missing the meaning here, I 
would call this a MAC override. I realize there is no concept of a TE 
override, but MLS is part of MAC, no? And, this violates B&amp;L rules. This 
is something we would control with a Security Administrator "role". Or, 
is this mlsdbread something that is impossible to give to a domain in a 
DBMS policy?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
It is different from my usage of terms.
Some of domains are allowed to access the tuple, and others are
disallowed as the result of access controls using the security
policy.

I understood the term of "MAC override" to express what actions
are allowed without any checks based on security policy, as if
root stuff can ignore DAC checks.
  </pre>
</blockquote>
Ya, definitions, definitions :-) Coming from an MLS world, MAC override
meant superseding the B&amp;L policy. In a general sense we use special
authorizations for that (our Security Admin role), while SELinux has a
built in mechanism (mlsdbread)
<blockquote cite="mid:49D27E6C.5000106@kaigai.gr.jp" type="cite">
  <pre wrap="">
Thanks,
  </pre>
</blockquote>
</body>
</html>