现在linux内核大概从2.6.33开始支持动态客体了的添加，即可以不重新编译内核，直接编译selinux策略即可添加客体类，这样做有什么好处呢？如过开发一个selnux aware的应用程序，且该程序引入了一个或多个客体类，则可以直接修改策略，即可以使用。所以现在核外的很多应用都针对的进行了修改，核外请求客体类和操作集的时候应该都是用名字，即“class”和"perm"来传递到内核进行判断，如果是传递flask.h或av_permissions.h中的值，则可能会导致请求的客体类和内核所设定的客体类不匹配的问题。所以核外应该使用selinux_set_mapping或者selinux_access_check来进行检查，而不知直接使用avc_has_perm.