1 policy_module(sysadm, 2.1.1)
3 ########################################
10 ## Allow sysadm to debug or ptrace all processes.
13 gen_tunable(allow_ptrace, false)
17 userdom_admin_user_template(sysadm)
20 userdom_security_admin_template(sysadm_t, sysadm_r)
23 ########################################
27 kernel_read_fs_sysctls(sysadm_t)
29 corecmd_exec_shell(sysadm_t)
31 domain_dontaudit_read_all_domains_state(sysadm_t)
33 files_read_kernel_modules(sysadm_t)
35 mls_process_read_up(sysadm_t)
36 mls_file_read_to_clearance(sysadm_t)
37 mls_process_write_to_clearance(sysadm_t)
39 ubac_process_exempt(sysadm_t)
40 ubac_file_exempt(sysadm_t)
41 ubac_fd_exempt(sysadm_t)
43 application_exec(sysadm_t)
46 init_exec_script_files(sysadm_t)
47 init_dbus_chat(sysadm_t)
48 init_script_role_transition(sysadm_r)
50 modutils_read_module_deps(sysadm_t)
52 miscfiles_read_hwdata(sysadm_t)
54 # Add/remove user home directories
55 userdom_manage_user_home_dirs(sysadm_t)
56 userdom_home_filetrans_user_home_dir(sysadm_t)
57 userdom_manage_user_tmp_dirs(sysadm_t)
58 userdom_manage_user_tmp_files(sysadm_t)
59 userdom_manage_user_tmp_symlinks(sysadm_t)
60 userdom_manage_user_tmp_chr_files(sysadm_t)
61 userdom_manage_user_tmp_blk_files(sysadm_t)
63 ifdef(`direct_sysadm_daemon',`
65 init_run_daemon(sysadm_t, sysadm_r)
68 ifdef(`distro_gentoo',`
70 seutil_init_script_run_runinit(sysadm_t, sysadm_r)
76 logging_manage_audit_log(sysadm_t)
77 logging_manage_audit_config(sysadm_t)
78 logging_run_auditctl(sysadm_t, sysadm_r)
79 logging_stream_connect_syslog(sysadm_t)
82 tunable_policy(`allow_ptrace',`
83 domain_ptrace_all_domains(sysadm_t)
87 amanda_run_recover(sysadm_t, sysadm_r)
91 apache_run_helper(sysadm_t, sysadm_r)
92 #apache_run_all_scripts(sysadm_t, sysadm_r)
93 #apache_domtrans_sys_script(sysadm_t)
97 # cjp: why is this not apm_run_client
98 apm_domtrans_client(sysadm_t)
102 apt_run(sysadm_t, sysadm_r)
106 auditadm_role_change(sysadm_r)
110 backup_run(sysadm_t, sysadm_r)
114 bind_run_ndc(sysadm_t, sysadm_r)
118 bootloader_run(sysadm_t, sysadm_r)
122 certmonger_dbus_chat(sysadm_t)
126 certwatch_run(sysadm_t, sysadm_r)
130 clock_run(sysadm_t, sysadm_r)
134 clockspeed_run_cli(sysadm_t, sysadm_r)
138 consoletype_run(sysadm_t, sysadm_r)
142 daemonstools_run_start(sysadm_t, sysadm_r)
146 dcc_run_cdcc(sysadm_t, sysadm_r)
147 dcc_run_client(sysadm_t, sysadm_r)
148 dcc_run_dbclean(sysadm_t, sysadm_r)
152 ddcprobe_run(sysadm_t, sysadm_r)
160 dmidecode_run(sysadm_t, sysadm_r)
164 dpkg_run(sysadm_t, sysadm_r)
168 firstboot_run(sysadm_t, sysadm_r)
172 fstools_run(sysadm_t, sysadm_r)
176 hostname_run(sysadm_t, sysadm_r)
180 # allow system administrator to use the ipsec script to look
181 # at things (e.g., ipsec auto --status)
182 # probably should create an ipsec_admin role for this kind of thing
183 ipsec_exec_mgmt(sysadm_t)
184 ipsec_stream_connect(sysadm_t)
186 ipsec_getattr_key_sockets(sysadm_t)
187 ipsec_run_setkey(sysadm_t, sysadm_r)
188 ipsec_run_racoon(sysadm_t, sysadm_r)
189 ipsec_stream_connect_racoon(sysadm_t)
192 ipsec_mgmt_dbus_chat(sysadm_t)
197 iptables_run(sysadm_t, sysadm_r)
201 kerberos_exec_kadmind(sysadm_t)
205 kudzu_run(sysadm_t, sysadm_r)
209 libs_run_ldconfig(sysadm_t, sysadm_r)
213 logrotate_run(sysadm_t, sysadm_r)
217 lpd_run_checkpc(sysadm_t, sysadm_r)
218 lpd_role(sysadm_r, sysadm_t)
222 lvm_run(sysadm_t, sysadm_r)
226 modutils_run_depmod(sysadm_t, sysadm_r)
227 modutils_run_insmod(sysadm_t, sysadm_r)
228 modutils_run_update_mods(sysadm_t, sysadm_r)
232 mount_run(sysadm_t, sysadm_r)
233 mount_run_showmount(sysadm_t, sysadm_r)
237 mta_role(sysadm_r, sysadm_t)
241 munin_stream_connect(sysadm_t)
245 mysql_stream_connect(sysadm_t)
249 ncftool_run(sysadm_t, sysadm_r)
253 netutils_run(sysadm_t, sysadm_r)
254 netutils_run_ping(sysadm_t, sysadm_r)
255 netutils_run_traceroute(sysadm_t, sysadm_r)
260 corenet_udp_bind_ntp_port(sysadm_t)
264 oav_run_update(sysadm_t, sysadm_r)
268 oident_manage_user_content(sysadm_t)
269 oident_relabel_user_content(sysadm_t)
273 pcmcia_run_cardctl(sysadm_t, sysadm_r)
277 portage_run(sysadm_t, sysadm_r)
278 portage_run_gcc_config(sysadm_t, sysadm_r)
282 portmap_run_helper(sysadm_t, sysadm_r)
286 prelink_run(sysadm_t, sysadm_r)
290 quota_run(sysadm_t, sysadm_r)
294 raid_domtrans_mdadm(sysadm_t)
298 rpc_domtrans_nfsd(sysadm_t)
302 rpm_run(sysadm_t, sysadm_r)
311 samba_run_net(sysadm_t, sysadm_r)
312 samba_run_winbind_helper(sysadm_t, sysadm_r)
316 screen_role_template(sysadm, sysadm_r, sysadm_t)
320 secadm_role_change(sysadm_r)
324 seutil_run_setfiles(sysadm_t, sysadm_r)
325 seutil_run_runinit(sysadm_t, sysadm_r)
329 shutdown_run(sysadm_t, sysadm_r)
334 ssh_role_template(sysadm, sysadm_r, sysadm_t)
338 staff_role_change(sysadm_r)
342 su_role_template(sysadm, sysadm_r, sysadm_t)
346 sudo_role_template(sysadm, sysadm_r, sysadm_t)
350 sysnet_run_ifconfig(sysadm_t, sysadm_r)
351 sysnet_run_dhcpc(sysadm_t, sysadm_r)
355 tripwire_run_siggen(sysadm_t, sysadm_r)
356 tripwire_run_tripwire(sysadm_t, sysadm_r)
357 tripwire_run_twadmin(sysadm_t, sysadm_r)
358 tripwire_run_twprint(sysadm_t, sysadm_r)
362 tzdata_domtrans(sysadm_t)
366 unconfined_domtrans(sysadm_t)
370 unprivuser_role_change(sysadm_r)
374 usbmodules_run(sysadm_t, sysadm_r)
378 usermanage_run_admin_passwd(sysadm_t, sysadm_r)
379 usermanage_run_groupadd(sysadm_t, sysadm_r)
380 usermanage_run_useradd(sysadm_t, sysadm_r)
385 vpn_run(sysadm_t, sysadm_r)
389 vpn_run(sysadm_t, sysadm_r)
393 webalizer_run(sysadm_t, sysadm_r)
397 virt_stream_connect(sysadm_t)
401 yam_run(sysadm_t, sysadm_r)
405 zebra_stream_connect(sysadm_t)
408 ifndef(`distro_redhat',`
410 apache_role(sysadm_r, sysadm_t)
413 auth_role(sysadm_r, sysadm_t)
417 bluetooth_role(sysadm_r, sysadm_t)
421 cdrecord_role(sysadm_r, sysadm_t)
425 cron_admin_role(sysadm_r, sysadm_t)
429 dbus_role_template(sysadm, sysadm_r, sysadm_t)
433 evolution_role(sysadm_r, sysadm_t)
437 games_role(sysadm_r, sysadm_t)
441 gift_role(sysadm_r, sysadm_t)
445 gnome_role(sysadm_r, sysadm_t)
449 gpg_role(sysadm_r, sysadm_t)
453 irc_role(sysadm_r, sysadm_t)
457 java_role(sysadm_r, sysadm_t)
461 lockdev_role(sysadm_r, sysadm_t)
465 mozilla_role(sysadm_r, sysadm_t)
469 mplayer_role(sysadm_r, sysadm_t)
473 pyzor_role(sysadm_r, sysadm_t)
477 razor_role(sysadm_r, sysadm_t)
481 rssh_role(sysadm_r, sysadm_t)
485 spamassassin_role(sysadm_r, sysadm_t)
489 thunderbird_role(sysadm_r, sysadm_t)
493 tvtime_role(sysadm_r, sysadm_t)
497 uml_role(sysadm_r, sysadm_t)
501 userhelper_role_template(sysadm, sysadm_r, sysadm_t)
505 vmware_role(sysadm_r, sysadm_t)
509 wireshark_role(sysadm_r, sysadm_t)
513 xserver_role(sysadm_r, sysadm_t)