久々にMLに投稿した。
http://marc.info/?t=119995492800003&r=1&w=2

現在、
AVCログ(SELinuxのログ)に、
アクセスしたファイルのフルパス名が出ないことがある。
getattrは出たが、readは出なかった。

ポリシを書くときはフルパス名が欲しいものである。
フルパス名を常に出すようにするには、
auditのダミールールを登録する必要があった。
Fedoraなら、適当に登録するだけなのだが、
組込みだと登録するためのコマンドを移植するなど面倒。
なので、ダミールールを登録しなくても、フルパスを表示する提案をした。
パフォーマンスが落ちると思うので、ポリシ開発時のみ有効にするんだと思う。

ちなみに、TOMOYOやAppArmorの提案するLSMへの修正が入れば、
こんなことをしなくても良くなるはずなのだが。