Add systemd_unit file handling along with httpd just to try this out

Looks like systemd_logind_t is reading user state /proc/PID/sessionid

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

If you setup spice, xdm_t seems to be using the virtio device

Revert mysql having kernel load modules, this was caused by a disable ipv6

Correct systemd_login_read_pid_files interface

abrt_dump_oops_t reads kernel sysctls

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow postfix_cleanup_t to searh maildrop

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

logs directory under /var/www/html should be labeled content not as a httpd_log_t

systemd-login needs fowner

Allow mysqld to request the kernel to load modules

Abrt_dump_oops_t reads kernel ring buffer

xtables-multi wants to getattr of the proc fs

Fixes for abrt_dump_oops_t policy

Allow abrt_dump_oops to look at kernel sysctls

abrt_dump_oops reads /var/log/messages

Smoltclient is connecting to abrt

Add initial policy for abrt_dump_oops_t

Allow udev to read systemd_login var_run files

Dontaudit leaked file descriptors to postdrop

All spoolfile attribute so that systemd can create and delete sockets in spool file directories and with spoolfile types.  Then change all files_type(.*spool_t) to files_spool_file)

Merge branch 'logind_fix'

systemd_logind: this is a bit cleaner

Interface fixes

systemd_logger: various stuff from dmesg
mozilla_plugin: allow caller to ptrace, ps and signal mozilla_plugin

Merge branch 'master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Allow gssd to search though nfsd_fs_t file system, needed for new kerberos changes

systemd_logind needs to dbus chat and read state files of all login
program domains.

Try fix fc spec for /var/log/(l)?xdm.log again. #722571

Remove bogus lines from systemd.te

This does not belong here

Merge branch 'master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Xserver: Removed rules that allowed xdm_t to use systemd_logind
/run/systemd/sessions/.* fifo_file descriptor, as that access is now
added to authlogin_pgm_domain (which xdm is)

The following calls in authlogin_pgm_domain are optional ( you may be
using upstart or sysvinit or whatever and my not have the systemd module
installed )

systemd_use_fds_logind($1)
systemd_write_inherited_logind_sessions_pipes($1)

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Inititial flask rules for systemd starting and stoping of services

file context spec for /var/log/xdm.log #722571

Add policy for systemd_logger and additional proivs for systemd_logind

Allow login programs to communicate with systemd_logind

Allow virtd_t to create dnsmasq pid dir

Allow initrc_t to create pid files for wdmd

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow virt_lxc_t signal_perms

systemd_logind links /run/user/$USER/X11/display to /tmp/.X11-unix/X*
sock_file

Not sure if this is the right thing to do but systemd_logind_t needs
this and since init_systemd_domain has not had much use yet, it may be
applicable to all long running systemd domains.

By the way we should probably differentiate between long running systemd
domains and one shot systemd domains.

virt: unconfined_t is optional

Initial systemd_logind policy

logind creates seats, sessions and users dirs in /run/systemd. xdm and
systemd_dbusd_t use (read inherited) files in /run/systemd/sessions and
so i decided to give sessions a private type and leave seats and users
type systemd_logind_var_run_t since no other domains seem to want to
interact with this content so far. Later we could decide to create
private types or seats and or users as well or we could decide to label
all logind content in /run/user systemd_logind_var_run_t.

logind acquires service on system dbus, system dbus client and dbus
chats to xdm and init.
crond dbus chats to logind

systemd_logind needs to create dirs in /run/system/session,
systemd_logind needs to be able to read crond state files (probably does
this when it is not allowed to dbus chat to crond)
crond needs to be able to use systemd_logind fds and it needs to be able
to read inherited systemd_logind_sessions_t pipes.

Obviously systemd-logind is looking for something in /tmp/*/X11-unix but
i cannot determine what and since there is no
xserver_search_xdm_tmp_dirs interface available to call, i decided to
just allow logind to read xdm tmp files for now.

Only "allow systemd_logind_t xdm_tmp_t:dir search;" is actually
confirmed

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add support for virt_lxc, default to unconfined domains for now

colord and system_dbusd_t want to read inherited gdm color profile files
(xdm_var_lib_t)
colord wants to dbus chat to gdm

dgrift did a more confined mechanism of allowing gkeyringd to talk to mission_control

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow setsched for virsh

Latest useradd lists all devices in /dev and looks at kernel proc_core_t

Add port definition for ctdb ports

allow sftpd daemons to read locale file

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Tighten controls on append, to eliminate open.  These interfaces are currently given to (domain)

Allow telepathy daemons to interact with users and with the keyring

virsh needs to setsched

I want to turn off apache being able to talk to apache via http by default, I think we need to find a way to only allow this on local host

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Systemd needs to impersonate cups, which means it needs to create tcp_sockets in cups_t domain, as well as manage spool directories

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

iptables: the various /sbin/ip6?tables.* are now symlinks for
/sbin/xtables-multi

telepathy: move gkeyring dbus chat call for mc to local policy as it
does not need a role prefix parameter.

gnome: fix xml, does not expect a role prefix parameter

telepathy: fix telepathy_role, allow telepathy_mission_control_t to dbus
chat to gkeyringd.
dbus: fix xml

telepathy: make logger file transition in .local/share and .cache

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up

Allow virtd_t to use ptys created by svirt domains, this is needed in order to do virsh console connect

Revert "Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up"

This reverts commit b61dc5a071e724100a59335602ead66d0d8ca2c5.

Allow logrotate_t to read symbolic links with the logrotate_var_lib_t label.  One of our customers set this up

Allow dovecot-auth to execute pam_krb5_storetmp

Remove duplicate declaration in ABRT policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit logrotate attempting to list mnt file systems

A lot of users are running yum -y update while in /root which is causing ldconfig to list the contents, adding dontaudit

Allow colord to interact with the users through the tmpfs file system

Since we changed the label on deferred, we need to allow postfix_qmgr_t to be able to create maildrop_t files

Add label for /var/log/mcelog

Allow only spamc_t to connect to abrt over unix stream socket rather than all apps domains for now

Allow amavis to read sysfs

Allow asterisk to read /dev/random if it uses TLS

Allow colord to read ini files which are labeled as bin_t

Allow dirsrvadmin sys_resource and setrlimit to use ulimit

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Systemd needs to be able to create sock_files for every label in /var/run directory, cupsd being the first.  Also lists /var and /var/spool directories

Revert: ea889ac720a4fddde6d8376cb5dc9336d14e867e
mozilla_plugin_tmp_t is userdom_user_tmp_content() and so callers have
full access to it.

callers need to stream connect to mozilla plugin ( gecko media
player plugin ) #711605

Remove labels for libexec abrt helpers

Allow apps that transition to mozilla_plugin_t to use the fd

Add openl2tpd to l2tpd policy

qpidd is reading the sysfs file

Abrt helper is reading the execuatbles that crash

xauth seems to be creating unix_dgram_sockets and reading network state

add l2tpd daemon policy