Fixes for namespace policy and other fixes related to polyinstantiation

Add transition to namespace_init_t from namespace.init for polyinstantiated homedirs

Allow dovecot-deliver transition to sendmail which is needed by sieve scripts
Fixes for init, psad policy which relate with confined users

Do not audit bootloader attempts to read devicekit pid files

Allow nagios service plugins to read /proc

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add firewalld policy

Allow vmware_host to read samba config

Kernel wants to read /proc Fix duplicate grub def in cobbler

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Chrony sends mail, executes shell, uses fifo_file and reads /proc
devicekitdisk getattr all file systems
sambd daemon writes wtmp file
libvirt transitions to dmidecode

- Make kernel_t domain MLS trusted for lowering the level of file.
- Add label for /var/lib/tftpboot/grub directory
- Fixes for mpd policy
- Fix amanda_search_lib interface

Transition from staff and unconfinet to mock_t

Allow mock to execmem and execstack, can run java/mono type apps requiring this priv

Allow groupadd and useradd to work with console

merging refs/remotes/origin/master into HEAD

Allow mysql-safe to send null signal to mysql

Screen only creates directories and pipes in /var/run/screen, thus the user owning a directory and pipe there should only be able to manage that. Since screen is not allowed to create lnk_files and files in /var/run/screen, users should not be able to manage files and lnk_files there either.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Fix typo

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Label /var/lock/subsys/shorewall as shorewall_lock_t
Allow users to communicate with the gpg_agent_t

Dontaudit mozilla_plugin_t using the inherited terminal
Allow sambagui to read files in /usr
webalizer manages squid log files
Allow unconfined domains to bind ports to raw_ip_sockets
Allow abrt to manage rpm logs when running yum
Need labels for /var/run/bittlebee
Label .ssh under amanda
Remove unused genrequires for virt_domain_template
Allow virt_domain to use fd inherited from virtd_t
Allow iptables to read shorewall config

Rename keyboard policy to keyboardd policy

Add initial policy for system-setup-keyboard which is now daemon

Fixes for bitlbee policy
Add transition from unconfined_java_t to wine_t
Allo sshd to search amanda lib files

- Fix label for /var/stockmaniac/templates_cache

Allow radius to communicate with postgresql
Telepath sofia needs to bind to any udp port

Gnome apps list config_home_t
mpd creates lnk files in homedir
apache leaks write to mail apps on tmp files
/var/stockmaniac/templates_cache contains log files
Abrt list the connects of mount_tmp_t dirs

passwd agent reads files under /dev and reads utmp file

squid apache script connects to the squid port

fix name of plymouth log file

Stop labeling files under /var/lib/mock so restorecon will not go into this directory

teamviewer is a wine app

nsplugin needs to read network state for google talk

allow dmesg to read system state

Allow xdm and syslog to use /var/log/boot.log

Allow users to communicate with mozilla_plugin and kill it

Add labeling for ipv6

Change authlogin_use_sssd to authlogin_nsswitch_use_ldap

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fixes for greylist_milter policy

New labels for ghc http content

nsplugin_config needs to read urand, lvm now calls setfscreate to create device nodes with proper context.

pm-suspend now creates log file for append access so we remove devicekit_write_log and fix up appending to log files for init functions

Fixes for passenger policy

Allow staff users to run mysqld in the staff_t domain, akonadi needs this
Add bin_t label for /usr/share/kde4/apps/kajongg/kajongg.py

auth_use_nsswitch does not need avahi to read passwords,needed for resolving data

Dontaudit (xdm_t) gok attempting to list contents of /var/account
Telepathy domains need to read urand
Need interface to getattr all file classes in a mock library for setroubleshoot

allod systemd_tmpfiles_t to delete /root/.* flags

Add boot.log support to plymouthd

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Conflicts:
policy/modules/system/init.if

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/system/init.if

Add label for dkim-milter

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/system/init.if

add authlogin_use_sssd to turn off access to ldap ports

Init needs to delete symlinks from /dev

Put dirsrv code in proper interface

Need label for /var/lib/dkim-milter

Prelink needs setfcap to restore file capabilities

Fixup to match upstream.

Fix access vectors so they do not break libselinux

Allow mpd to read sound device

Fixes for samhain init_system_domain() usage.

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Add type for /usr/share/sandbox/start, so we can run sandbox on nfs shares

Whitespace fixes in init.

Rearrange distro blocks in init.fc

Fix OpenRC status dir labeling for Gentoo

Signed-off-by: Chris Richards <gizmo@giz-works.com>

Fix OpenRC status dir labeling for Gentoo

Current policy sets /lib(32|64)?/rc/init.d to lib_t.  This causes
problems for DHCP among other things, as the initrc domain does not
have permissions to perform some operations.  Changing to
initrc_state_t (the labeling used for /var/lib/init.d by
the older baselayout-1) resolves some of these issues.

Signed-off-by: Chris Richards <gizmo@giz-works.com>

Fix samhain range transitions for MLS/MCS and a type transition conflict.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add setuid capability for vpnc

Add changelog entry for samhain.

Cleanup samhain.if.

* Rearrange rules in the template.
* Remove samhain_etc_t:dir perms since there are no such dirs.
* Add extra docs in samhain_domtrans().
* Include samhaind_t in admin interface process perms.

Move samhain domain declarations into its template.

Reorder samhain call in userdomain.

Whitespace fixes in samhain.

Add support for the samhain program.

Note, extra privileges may need to be granted to the samhain domain
if its default configuration file(/etc/samhainrc) is changed.

The samhain program could be used in the following way:

(In secadm_r role)
1. Initialize filesystem signature database:
newrole -l s15:c0.c1023 -p -- -c "samhain -t init"

(Note, the current secadm console will be blocked until
the database is completed)

2. Start samhain deamon to check filesystem integrity
newrole -l s15:c0.c1023 -p -- -c "samhain -t check -D"

3. Update filesystem signature database:
newrole -l s15:c0.c1023 -p -- -c "samhain -t update"

(In sysadm_r role)
1. Start samhain in daemon mode:
run_init /etc/init.d/samhain start

2. Stop samhain daemon:
run_init /etc/init.d/samhain stop

3. Check samhain daemon status:
run_init /etc/init.d/samhain status

4. Read/write samhain log files:
newrole -l s15:c0.c1023 -p -- -c "cat /var/log/samhain_log"

5. Remove samhain database files
newrole -l s15:c0.c1023 -p -- -c "rm /var/lib/samhain/samhain_file"

Note:
1. Stop samhain daemon before updating signature database.
2. Don't try to start samhain daemon twice.
3. Need to toggle SELinux into the Permissive mode in order to remove
   the samhain_log files from /var/log/.

Signed-off-by: Harry Ciao <qingtao.cao@windriver.com>

Mistake in plymouth.te, should allow plymoutd to delete /var/log/boot.log
GoogleTalkPlugin is causing nsplugin to need to listen on tcp_socket, as well as list sysfs and create netlink_kobject_socket

Fixes for boinc and munin policy

Fix mojomojo module author. Apologies to Iain Arnell for the typo.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Fix for dkim-milter

remove per sandbox domains devpts types

Allow sandbox to run on nfs partitions, fixes for systemd_tmpfs

Allow domains that transition to ping or traceroute, kill them
Allow user_t to conditionally transition to ping_t and traceroute_t
Add fixes to systemd- tools, including new labeling for systemd-fsck, systemd-cryptsetup

fixes for systemd apps

Label /var/run/*cron* as crond_var_run_t

Remove dulicate declaration

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit sys_ptrace capablitity for mozilla-plugin

Update Changelog and VERSION for release.

mozilla_plugin needs to read certs in the homedir.

Certmonger needs more access
nero libraries need textrel_shlib_t

Bump module versions for release.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit leaked file descriptors from devicekit
Fix ircssi to use auth_use_nsswitch
Change to use interface without param in corenet to disable unlabelednet packets
Allow init to relabel sockets and fifo files in /dev
certmonger needs dac* capabilities to manage cert files not owned by root
dovecot needs fsetid to change group membership on mail
plymouthd removes /var/log/boot.log
systemd is creating symlinks in /dev
Change label on /etc/httpd/alias to be all cert_t

Allow alsa to create tmp files in /tmp
adobre dir in user home directory needs to be created with the proper label

Fixes for clamscan and boinc policy

Add boinc_project_t setpgid