Allow initrc_t to create pid files for wdmd

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow virt_lxc_t signal_perms

systemd_logind links /run/user/$USER/X11/display to /tmp/.X11-unix/X*
sock_file

Not sure if this is the right thing to do but systemd_logind_t needs
this and since init_systemd_domain has not had much use yet, it may be
applicable to all long running systemd domains.

By the way we should probably differentiate between long running systemd
domains and one shot systemd domains.

virt: unconfined_t is optional

Initial systemd_logind policy

logind creates seats, sessions and users dirs in /run/systemd. xdm and
systemd_dbusd_t use (read inherited) files in /run/systemd/sessions and
so i decided to give sessions a private type and leave seats and users
type systemd_logind_var_run_t since no other domains seem to want to
interact with this content so far. Later we could decide to create
private types or seats and or users as well or we could decide to label
all logind content in /run/user systemd_logind_var_run_t.

logind acquires service on system dbus, system dbus client and dbus
chats to xdm and init.
crond dbus chats to logind

systemd_logind needs to create dirs in /run/system/session,
systemd_logind needs to be able to read crond state files (probably does
this when it is not allowed to dbus chat to crond)
crond needs to be able to use systemd_logind fds and it needs to be able
to read inherited systemd_logind_sessions_t pipes.

Obviously systemd-logind is looking for something in /tmp/*/X11-unix but
i cannot determine what and since there is no
xserver_search_xdm_tmp_dirs interface available to call, i decided to
just allow logind to read xdm tmp files for now.

Only "allow systemd_logind_t xdm_tmp_t:dir search;" is actually
confirmed

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add support for virt_lxc, default to unconfined domains for now

colord and system_dbusd_t want to read inherited gdm color profile files
(xdm_var_lib_t)
colord wants to dbus chat to gdm

dgrift did a more confined mechanism of allowing gkeyringd to talk to mission_control

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow setsched for virsh

Latest useradd lists all devices in /dev and looks at kernel proc_core_t

Add port definition for ctdb ports

allow sftpd daemons to read locale file

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Tighten controls on append, to eliminate open.  These interfaces are currently given to (domain)

Allow telepathy daemons to interact with users and with the keyring

virsh needs to setsched

I want to turn off apache being able to talk to apache via http by default, I think we need to find a way to only allow this on local host

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Systemd needs to impersonate cups, which means it needs to create tcp_sockets in cups_t domain, as well as manage spool directories

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

iptables: the various /sbin/ip6?tables.* are now symlinks for
/sbin/xtables-multi

telepathy: move gkeyring dbus chat call for mc to local policy as it
does not need a role prefix parameter.

gnome: fix xml, does not expect a role prefix parameter

telepathy: fix telepathy_role, allow telepathy_mission_control_t to dbus
chat to gkeyringd.
dbus: fix xml

telepathy: make logger file transition in .local/share and .cache

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up

Allow virtd_t to use ptys created by svirt domains, this is needed in order to do virsh console connect

Revert "Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up"

This reverts commit b61dc5a071e724100a59335602ead66d0d8ca2c5.

Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up

Allow dovecot-auth to execute pam_krb5_storetmp

Remove duplicate declaration in ABRT policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit logrotate attempting to list mnt file systems

A lot of users are running yum -y update while in /root which is causing ldconfig to list the contents, adding dontaudit

Allow colord to interact with the users through the tmpfs file system

Since we changed the label on deferred, we need to allow postfix_qmgr_t to be able to create maildrop_t files

Add label for /var/log/mcelog

Allow only spamc_t to connect to abrt over unix stream socket rather than all apps domains for now

Allow amavis to read sysfs

Allow asterisk to read /dev/random if it uses TLS

Allow colord to read ini files which are labeled as bin_t

Allow dirsrvadmin sys_resource and setrlimit to use ulimit

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Systemd needs to be able to create sock_files for every label in /var/run directory, cupsd being the first.  Also lists /var and /var/spool directories

Revert: ea889ac720a4fddde6d8376cb5dc9336d14e867e
mozilla_plugin_tmp_t is userdom_user_tmp_content() and so callers have
full access to it.

callers need to stream connect to mozilla plugin ( gecko media
player plugin ) #711605

Remove labels for libexec abrt helpers

Allow apps that transition to mozilla_plugin_t to use the fd

Add openl2tpd to l2tpd policy

qpidd is reading the sysfs file

Abrt helper is reading the execuatbles that crash

xauth seems to be creating unix_dgram_sockets and reading network state

add l2tpd daemon policy

Domains that execute killall like gdm, need to getattributes of executables

Allow mail domains to read asterisk_tmp_t content

Cleanup sandbox policy

chrome_sandbox_t needs to write to inherited files in the homedir, if it is using nfs or cifs

Allow sysadmin_t to transition to systemd_passwd to start and stop init scripts

#711804 reveals that puppetmaster needs to search through sysfs_t

abrt-dump-oops runs from init and needs to write to abrt_var_cache, so I am making it a helper app

vpnc_t tries to access an init_t fd, but works without the access, so dontaudit it

Fix virt_dontaudit_read_chr_dev() interface

Add more interfaces for rhsmcertd policy
Dontaudit xguest dbus chat with rhsmcertd

Change usbmuxd_t to dontaudit attempts to read chr_file (usb) devices owned by an svirt guest

Add mysld_safe_exec_t for libra domains to be able to start private mysql domains

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Sandbox starts dbus within some apps and this attempts to communicate with netlink_selinux_socket.  I think we need to allow this access, as it stops an ugly line from appearing in the log file

Revert "Sandbox starts dbus within some apps and this attempts to communicate with netlink_selinux_socket.  I think we need to allow this access, as it stops an ugly line from appearing in the log file"

This reverts commit 5a709ffff74bb93b11744d0a3041120a4910f94c.

Sandbox starts dbus within some apps and this attempts to communicate with netlink_selinux_socket.  I think we need to allow this access, as it stops an ugly line from appearing in the log file

Allow pppd to search /var/lock dir

Allow usbmuxd_t to read chr_files owned by svirt_t

Add rhsmcertd policy
 * Subscription Management Certificate Daemon policy

Allow colord to read /proc/stat

Add support for corosync-notifyd
  * add corosync_exec_t label

Allow shutdown to send sigchld to rhev-agentd

Fix file context issue in postfix.fc

Allow confined users to dbus chat with telepathy domains

Allow telepathy_gabble to read gnome home config

Fix bud in bugzilla.if

Remove duplicate context declaration for /usr/sbin/validate

Remove others duplicate declarations

Remove duplicate declaration from iptables.fc

Add back upstream changes in userdomain.if

Remove duplicate declaration from vnstat

Add back telepathy_dbus_chat() interface

Use files_list_lost_found() interface

Add back application_getattr_socket() interface

Remove duplicate declaration in rssh policy

Use zarafa_domtrans_deliver interface instead of zarafa_deliver_domtrans

Fix typo

Use mozilla_exec_user_home_files()

Use bugzilla_dontaudit_rw_stream_sockets(system_mail_t) which is correct

Use the right interface
 * bugzilla_search_content(system_mail_t)

Remove duplication declaration in mozilla policy