我想学习为我的自定义运动守护程序创建一个基于user_r的角色。守护进程在不受约束的情况下工作正常，但我想进一步锁定它。我戴的是38号软呢帽。
Selinux教程和文档在地面上有点薄，但我发现：
自定义角色创建：http://www.selinuxproject.org/page/RefpolicyBasicRoleCreation
限制：https://wiki.gentoo.org/wiki/SELinux/Constraints（很少有有用的selinux gentoo页面）。
因此，我已经将我的用户切换到user_u角色作为开始，但是我开始在audit.log中获得以下avc拒绝

type=AVC msg=audit(1686738596.953:155): avc:  denied  { relabelto } for  pid=1054
comm="systemd" name="tmp" dev="tmpfs" ino=302 scontext=user_u:user_r:user_t:s0
tcontext=system_u:object_r:tmp_t:s0 tclass=dir permissive=0

audit 2allow告诉我：

#============= user_t ==============

#!!!! This avc is a constraint violation.  You would need to modify the attributes of
either the source or target types to allow this access.
#Constraint rule: 
#   constrain dir { create relabelfrom relabelto } ((u1 == u2 -Fail-)  or (t1 ==
 can_change_object_identity -Fail-) ); Constraint DENIED

#   Possible cause is the source user (user_u) and target user (system_u) are different.
allow user_t tmp_t:dir relabelto;

因此，有一个约束冲突，因为user_r角色的某个部分阻止了我的用户访问/tmp的某个部分（我认为）。我以为/tmp可以被user_r访问，但显然我错了。
我不想将can_change_object_identity添加到我的user_r模板化自定义角色，即使我这样做了，我也找不到任何关于如何做到这一点的信息。我找到了这个命令：seinfo -acan_change_object_identity -x，它列出了哪些类型具有can_change_object_identity，但是定义这些类型的文件在哪里，或者允许它们的命令是什么？
问题是，我并不真的想将can_change_object_identity添加到我的custom_role中，那么我能做些什么来减轻这种avc拒绝呢？
最后，请让我知道，如果我完全搞错了，因为除了selinux是非常复杂的事实（似乎新手），我只是找不到权威的完整和/或容易遵循的selinux教程/信息。任何关于这个方向的建议都非常感谢...
MTIA