Fix auth_manage_var_auth

Mistake when adding append_inherited_perms

Allow piranha domains to signal each other, fix type to allow piranha_pulse_t to transition to piranha_fos_t

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow lvm to read/write pipes inherited from login programs

Make sure pulseaudio content is created with correct context

Call irc role for confined users

Merge branch 'httpd_user_content'

fix jabber syntax error

Add some more obvious named file transitions for apache home content

setfiles needs to be able to read symlinks to make restorecon on symlink working

Allow most postfix domains to ignore MCS constraints

mcswriteall should allow a process to ignore mcs labels

Allow nut_upsd_t to signal itself

audisp needs to to read system state and  need to get attributes of / fs.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

dhcpc needs to use userdom_use_user_terminals() to make "ifup" working

Clean up and fixes for jabber policy

Merge branch 'fixes'

gnome keyringd needs to read system state
telepathy_domains need to get attributes of / fs.

postfix pickup fifo file #711866

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Update all references to selinuxfs to allow ssearching sysfs_t

puppetmaster use nsswitch: #711804

fix a typo

Merge various apps layer changes from the Fedora policy.

Really needs execute; audit_access wont do it.

logwatch mail: just allow it to use system_cronjob_t fds for now.

Implement userdom_user_tmpfs_content()
users are allowed to manage all user tmpfs type content now so we do not
have to specify rules to specific user tmp and user tmpfs types.

Edit userdom_manage_tmp/tmpfs_role to use user_tmp_type and
user_tmpfs_type respectively: if a type is declared user type then the
user needs to be able to manage (and relabel) it.

sandbox fds: this does need seem to be strictly needed
allow sandbox_xserver_t staff_seunshare_t:fd use;

Various sandbox X related fixes:

allow sandbox_web_client_t fs_t:filesystem quotaget;
fs_get_xattr_fs_quota($1_client_t)
allow sandbox_web_t staff_seunshare_t:fd use;
allow sandbox_xserver_t staff_screen_t:fd use;
domain_use_interactive_fds(sandbox_xserver_t)

Cyrus file context update for Gentoo from Corentin Labbe.

use usertype here because chrome is labeled execmem_exec_t so we want
$1_execmem_t (which is $1_usertype) to be able to transition to the
sandbox.

Merge branch 'cron_fd'

logwatch_mail_t wants to use system_cronjob_t fds #711498

Allow zabbix to getpw* calls and use semaphores

init script needs to be able to manage sanlock_var_run_t files

Allow sandlock and wdmd to create /var/run directories with the proper label

mixclip.so has been compiled correctly

Fix passenger policy module name

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add jabberd_domain_template()
 * Note: will use for ejabberd

Remove duplicate mozilla_plugin_t policy

pulseaudio really needs to open mozilla_plugin_tmpfs files.
calling user needs to be able to delete and read
mozilla_plugin_tmpfs_files atleast (pulse-shm)
allow calling users to ptrace, signal and ps mozilla_plugin_t

Merge ncftool from Fedora.

Merge branch 'openicc'

Merge branch 'fixes'

Merge branch 'chrome'

remove chrome_role from execmem_role_template chrome is already
allowed execmem.
call chrome role for user_t and staff_t

Zabbix needs these rules when starting the zabbix_server_mysql

selinux_t does not exist

fix build

Allow chrome to optionally be transitioned to

Allow chrome to optionally be transitioned to

Fix fix labeling of /usr/lib/xfce4

Implement a type for freedesktop openicc standard (~/.local/share/icc)
Allow system_dbusd_t to read inherited icc_data_home_t files.
Allow colord_t to read icc_data_home_t content. #706975

http://www.freedesktop.org/wiki/OpenIcc#OpenICCproject

Label stuff under /usr/lib/debug as if it was labeled under /

Make unconfined_t transitioning to chrome_sanbox_t optional by boolean

Fix labeling under /usr/lib/xfce4

Init is now loading policy and mount selinuxfs

Allow puppetmaster to create dirs in /var/run/puppet

Allow ssh to execute systemctl

Fixes for rhev-agent policy

Allow fail2ban to create fail2ban_tmp_t dirs

Initial mailscanner policy

Allow programs that can read/write etc_runtime_t read links with that label, already allowed for read_etc_runtime_files
Allow postfix_pickup to ignore MCS labels
Add append_inherited_file_perms

Allow mailserver_delivery and uux_t to read/write postfix_master_pipes.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

dontaudit devicekit trying to list contents of mnt_t

Merge branch 'refs/heads/master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Rwho needs to stat() user terminal character files #708378

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow sys_chroot for postfix domains

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

rwho needs to be able to getattr on user timernals

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow virtd_t to stream conect to sanlock, dontaudit leaked file descriptor from virtd_t to svirt_t, this is intentional

Merge branch 'refs/heads/master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Allow apache to read proc_net_t
Allow userdomains to use seunshare fds

networkmanager_filetrans_named_content: it does not like paths

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Move dev_filetrans_all_named_dev out of tunable init_systemd

Do not support nfs/cifs #708474

colord get attribute removable devices as per mgrepl's suggestion

Make sure init, udev, initrc creating devices creates them with the right label

Unconfined_t running wpa by hand causes nm-dhclient-eth1.conf to be mislabeled

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

rpm_t only needs to relabel generic device nodes

fix syntax error

rpm creates and renames generic device_t blk and chr files.
rpm relabels generic device_t blk and chr files to any device_node.
rpm deletes and sets attributes of all chr and blk device nodes.

pulseaudio wants to read inherited mozilla plugin tmpfs files:

avc:  denied  { read } for  pid=1630 comm="pulseaudio"
name="pulse-shm-4091746155" dev=tmpfs ino=53954
scontext=staff_u:staff_r:pulseaudio_t:s0-s0:c0.c1023
tcontext=staff_u:object_r:mozill _plugin_tmpfs_t:s0 tclass=file

ldconfig wants to list user home directories:

avc:  denied  { read } for  pid=29900 comm="ldconfig"
path="/home/dgrift" dev=dm-3 ino=5767169
scontext=staff_u:system_r:ldconfig_t:s0-s0:c0.c1023
tcontext=staff_u:object_r:user_home_dir_t:s0 tclass=dir

Add label for /var/lock/ppp directory

Add filetrans_home_content for quota

Fix sanlock policy and allow inetd_t to mls_net all levels for outbound networks

Allow init to read adjtime
Allow pulseaudio to send signull to keyring

Label /var/log/roundcubemail type httpd_log_t so that the webapp
(httpd_t) can log to it. #709246

dovecot_deliver wants to read dovecot sock files and wants to stream
connect to dovecot #709257 #709255

Extend audit_access interfaces to allow get attributes.
puppetmaster may only need to check access to groupadd useradd and
passwd (chage) #708897