Allow gkeyring_t to interact with all user apps

Add rules to allow firstboot to run on machines with the unconfined.pp module removed

Try to treat /sbin/pppoe-server with pppd policy
 * needs to be tested

Allow lldpad to send to fcoemon unix dgram socket

Add fcoemon policy
  * Open-FCoE service daemon

Allow systemd-login to use user domain tty which happens in runlevel 3

Allow dhcpd setcap/getcap

Allow systemd_logind to send dbus messages with users

Allow dhcpd to get and set capabilities

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

allow accountsd to read wtmp file

Allow abrt-dump-oops to read system state information in /proc

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Rename oracledb_port_t to oracle_port_t

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow mount to mounton the selinux file system

Allow users to list /var directories. per eparis

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

add label for /selinux symbolic link

init_t needs to be able to manage etc lnk_files

Make firstboot always unconfined

Allow postfix_pickup_t to delete  postfix_spool links

Fix typo

More fixes for ctdbd policy

New rules needed for virt_lxc_t to start a container

fix unit name to standardize on httpd_unit_t name

Allow crond to search and list the /root directory

chrome_sandbox must be passing the open file descriptor back to chrome, so I think we need to allow this

Fix interface to include httpd_sys_script_exec_t

Allow psad_t to send its own processes all signals

libffmpegsumo for chrome needs texrelocation

Revert "Allow accountsd to read wtmp file"

This reverts commit ff12712d14dca28bc28cc4e6a6b9f8be384fd767.

Fix rule to allow dump_oops_t to read /var/log/messages

Fix rule to allow dump_oops_t to read /var/log/messages

Allow accountsd to read wtmp file

Allow systemd to create /var/run fifo_files

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add fixes for postfix from RHEL

More fixes for ctdbd policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow rgmanager executes init script files in initrc_t domain which ensure proper transitions

Add systemd_unit file handling along with httpd just to try this out

Looks like systemd_logind_t is reading user state /proc/PID/sessionid

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

If you setup spice, xdm_t seems to be using the virtio device

Revert mysql having kernel load modules, this was caused by a disable ipv6

Correct systemd_login_read_pid_files interface

abrt_dump_oops_t reads kernel sysctls

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow postfix_cleanup_t to searh maildrop

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

logs directory under /var/www/html should be labeled content not as a httpd_log_t

systemd-login needs fowner

Allow mysqld to request the kernel to load modules

Abrt_dump_oops_t reads kernel ring buffer

xtables-multi wants to getattr of the proc fs

Fixes for abrt_dump_oops_t policy

Allow abrt_dump_oops to look at kernel sysctls

abrt_dump_oops reads /var/log/messages

Smoltclient is connecting to abrt

Add initial policy for abrt_dump_oops_t

Allow udev to read systemd_login var_run files

Dontaudit leaked file descriptors to postdrop

All spoolfile attribute so that systemd can create and delete sockets in spool file directories and with spoolfile types.  Then change all files_type(.*spool_t) to files_spool_file)

Merge branch 'logind_fix'

systemd_logind: this is a bit cleaner

Interface fixes

systemd_logger: various stuff from dmesg
mozilla_plugin: allow caller to ptrace, ps and signal mozilla_plugin

Merge branch 'master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Allow gssd to search though nfsd_fs_t file system, needed for new kerberos changes

systemd_logind needs to dbus chat and read state files of all login
program domains.

Try fix fc spec for /var/log/(l)?xdm.log again. #722571

Remove bogus lines from systemd.te

This does not belong here

Merge branch 'master' of ssh://domg472@git.fedorahosted.org/git/selinux-policy.git

Xserver: Removed rules that allowed xdm_t to use systemd_logind
/run/systemd/sessions/.* fifo_file descriptor, as that access is now
added to authlogin_pgm_domain (which xdm is)

The following calls in authlogin_pgm_domain are optional ( you may be
using upstart or sysvinit or whatever and my not have the systemd module
installed )

systemd_use_fds_logind($1)
systemd_write_inherited_logind_sessions_pipes($1)

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Inititial flask rules for systemd starting and stoping of services

file context spec for /var/log/xdm.log #722571

Add policy for systemd_logger and additional proivs for systemd_logind

Allow login programs to communicate with systemd_logind

Allow virtd_t to create dnsmasq pid dir

Allow initrc_t to create pid files for wdmd

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow virt_lxc_t signal_perms

systemd_logind links /run/user/$USER/X11/display to /tmp/.X11-unix/X*
sock_file

Not sure if this is the right thing to do but systemd_logind_t needs
this and since init_systemd_domain has not had much use yet, it may be
applicable to all long running systemd domains.

By the way we should probably differentiate between long running systemd
domains and one shot systemd domains.

virt: unconfined_t is optional

Initial systemd_logind policy

logind creates seats, sessions and users dirs in /run/systemd. xdm and
systemd_dbusd_t use (read inherited) files in /run/systemd/sessions and
so i decided to give sessions a private type and leave seats and users
type systemd_logind_var_run_t since no other domains seem to want to
interact with this content so far. Later we could decide to create
private types or seats and or users as well or we could decide to label
all logind content in /run/user systemd_logind_var_run_t.

logind acquires service on system dbus, system dbus client and dbus
chats to xdm and init.
crond dbus chats to logind

systemd_logind needs to create dirs in /run/system/session,
systemd_logind needs to be able to read crond state files (probably does
this when it is not allowed to dbus chat to crond)
crond needs to be able to use systemd_logind fds and it needs to be able
to read inherited systemd_logind_sessions_t pipes.

Obviously systemd-logind is looking for something in /tmp/*/X11-unix but
i cannot determine what and since there is no
xserver_search_xdm_tmp_dirs interface available to call, i decided to
just allow logind to read xdm tmp files for now.

Only "allow systemd_logind_t xdm_tmp_t:dir search;" is actually
confirmed

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add support for virt_lxc, default to unconfined domains for now

colord and system_dbusd_t want to read inherited gdm color profile files
(xdm_var_lib_t)
colord wants to dbus chat to gdm

dgrift did a more confined mechanism of allowing gkeyringd to talk to mission_control

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow setsched for virsh

Latest useradd lists all devices in /dev and looks at kernel proc_core_t

Add port definition for ctdb ports

allow sftpd daemons to read locale file

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Tighten controls on append, to eliminate open.  These interfaces are currently given to (domain)