バイナリラッパを使ったBusyBoxに対するACL書きは、非常に面倒。
これまでに勉強会のデモ機用にACLは書いたことはあるので、書けないことは無いですが、アクセス拒否のときやACL_DISCOVERYモードのログで出てくるコマンド名が全て「busybox」なので、どのラッパから呼び出されたものかわからない。

やりかたとしては、起動手順を全て把握して追跡する方法の他、/bin/busyboxをデフォルトでDENYにして、ラッパがbusyboxを呼び出すときにログを吐かせる方法があるにはあるけど。

もうちょっと楽な方法が無いかなぁ。