Были разговоры о возможности динамического изменения ролей процессами 
(это требуется например apache)

Вот первый вариант.

Ранеепри попытке смены роли у процесса проверялось:
1.) Есть ли право на  изменение?( Право R_MODIFY_ATTRIBUTE - Type Comp 
Process/General Process)
1.1) Если есть, то состоит ли назначаемая роль в списке Assign Roles у 
назначающей роли? Если да, то можно.
2. )Является данная роль администрирующей? Если да, то можно

3. )Если ничего не проходит - нельзя.

Добавляется следующая возможность:
1.2.) Если производится смена роли у процесса (и только у процесса) и 
процесс меняет роль у себя (и только у себя) и если новая роль числится 
в списке Assign Roles - то можно.

----------------------
Прилагается тестовый пример (чтобы процесс мог прочитать свою роль - 
необходимо включить право READ_ATTRIBUTE вType Comp  Process/General 
Process) - собирается с "CFLAGS = -I/usr/src/linux/include -DCONFIG_RSBAC"

Проверяется:
a)установка допустимой роли
b)установка недопустимой проли
c)установка роли на недопустимый процесс.
------------------------
Прилагается патч к последнему RSBAC'чному ядру. Патчится   функция 
rsbac_adf_request_rc в районе проверки "R_MODIFY_ATTRIBUTE:/case A_rc_role:"

----------------------------------
Удачных исследований.

Станислав Иевлев.