最近selinux遇到问题：avc: denied { sigkill } for pid=12755 comm="sh" scontext=u:r:AAAA:s0 tcontext=u:r:untrusted_app:s0:c512,c768tclass=process permissive=0

发现即使加了 allow AAAA untrusted_app:process sigkill;的规则也不行。

后来发现是security level专为MLS访问机制所添加的安全上下文的扩展部分mlstrustedsubject 捣的鬼。

需要加上type AAAA, domain,mlstrustedsubject;问题就解决了。

关于mlstrustedsubject 具体参考博客：http://blog.csdn.net/l173864930/article/details/17194899