Pull in mcs constraint changes from Fedora.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

- Allow abrt fowner capability

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow ssh_t to search /root for /root/.ssh

dontaudit read of user_tmp_t from load_policy, this happens when a user executes semanage -i << _EOF ... _EOF

Since /var/lock is moving to /run/lock.  We need to allow all interfaces for lock files to search var_run_t

Dontaudit listing of /dev for run_init

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add file labelfor MathKernel
Dontaudit sandbox listing any mountpoint

Add label for /dev/dlm*
Allowe asterisk to connect to pktcable ports.

Remove "Make Makefile/Rules.modular run sepolgen-ifgen during build to check if files for bugs for now" change for now

Allow systemd_tmpfiles_t to manage sandbox data

More /run directories labels

rlogind sends kill signal to chkpwd_t

Start pulling in kernel layer pieces from Fedora.

systemd is now mounting on /var/lock

Remove permissive $1_gkeyringd_t declaration from gnome.if since it fails on install

Fix typo in gnome_role_gkeyringd() interface

Add named_bind_http_port

Update access vectors.

Allow $1_sudo_t and $1_su_t open access to user terminals
Allow initrc_t to use generic terminals

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Make Makefile/Rules.modular run sepolgen-ifgen during build to check if files for bugs
systemd is going to be useing /run and /run/lock for early bootup files.
Fix some comments in rlogin.if

Fix typo in audit_spool_t definition

Fix kerberos_read_home_content interface

Turn off kdebacklighthelper policy for now since therse is a bug

Add policy for KDE backlighthelper

sssd needs to read ~/.k5login in nfs, cifs or fusefs file systems

sssd wants to read .k5login file in users homedir

setroubleshoot reads executables to see if they have TEXTREL

Add /var/spool/audit support for new version of audit

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Conflicts:
policy/modules/roles/unprivuser.te
policy/modules/roles/xguest.te

Add permissive $1_gkeyringd_t declaration

It does not work
* Revert "Make keyring policy work with user_t and xguest_t"

This reverts commit f397dd48162a42ccef7eec5705e5efbf1a69eafb.

systemd read mtab which is now a link

Remove gnome_role_gkeyringd for other confined users. It does not work.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Remove kerberos_connect_524() interface calling

Fix obj_perm_sets.spt relating to policy-termis.patch

Fix duplicate declaration

Remove some unconfined domains

Remove permissive domains

Add policy-term.patch from Dan

Combine kerberos_master_port_t and kerberos_port_t

Combind kerberos_master_port_t into kerberos_port_t

Module version bump for mplayer updates from Sven Vermeulen.

Move domain_use_interactive_fds() line in mplayer.

Support mplayer as plugin for others

Allow mplayer to behave as a plugin for higher-level (interactive)
applications, such as browser plugins

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

mplayer support for webcams

In order to work with webcams, mplayer domain needs write access to the
v4l_device_t (updates and reconfiguration of the video device)

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

systemd has setup /dev/kmsg as stderr for apps it executes

Make keyring policy work with user_t and xguest_t

Need these access so that init can impersonate sockets on unix_dgram_socket

Add reading of link files to gnome_read_gconf_home_files

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

telepathy domains need to resolve dns
initrc should be able to handle mcs labels if unconfined

Module version bump for postfix fc updates from Sven Vermeulen.

Whitespace fix in postfix.fc.

Update postfix file contexts to support amd64 setup

Updates on the file contexts, supporting AMD64 multilib environment

( Patch 10 has been revoked a-la-last-minute, needs further testing )

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

postalias command should stay bin_t

postalias should stay bin_t, is manually executed (no role executes
postfix_master_exec_t as it is only to be launched through init scripts).

The postalias command is used to regenerate the aliases.db file from the
mail aliases and as such is a system administrative activity. However, by
default, no role has execute rights on any postfix_master_exec_t domains as
the domain is apparently meant only to be started from the run_init_t
domain.

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

systemd and fsck.ext4 read mtab which is now a link

Fix typo

Allow syslogd setsched

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add syslogd_exec_t label for systemd-kmsg-syslogd

ipsec_mgmt_t wants to cause ipsec_t to dump core, needs to be allowed

Fix db_blob typo in sepgsql_contexts.

Module version bump for sasl fc from Sven Vermeulen.

Cyrus sasl /var/lib/sasl2 location support

Cyrus sasl by default looks in /var/lib/sasl2 for its PID file, socket
creation and lock files.

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

Module version bump and changelog for courier from Sven Vermeulen.

Move Gentoo-specific couriertcpd fc line.

Fix file contexts, add Gentoo-specific (?) location

Update on the file contexts for courier-imap. Also fixes a few context
directives which didn't update the directory itself.

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

Allow authdaemon to create unix_stream_sockets

The authdaemon needs the create_stream_socket_perms privs in order to be able to start up.

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

Module version bump for alsactl location patch from Sven Vermeulen.

Move /usr/sbin/alsactl fc line.

Support /usr/sbin/alsactl location too (fex. Gentoo, Slackware, Arch)

The alsactl binary is often installed in /usr/sbin instead of /sbin (not a
necessity to start up the system). Used in distributions such as Gentoo,
Slackware and Arch.

Signed-off-by: Sven Vermeulen <sven.vermeulen@siphos.be>

Allow rythmbox and other apps to share music over daap port

Fix permissive declaration for staff_gkeyringd_t

Fix typo in gnome.if

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow qemu and pulseaudio to work together

Allow qemu_t to manage virt_home_t, and connect to the xserver

Allow httpd to create socket file in /tmp

Allow tuned to write to sysfs

Allow systemd_tmpfiles to send kernel messages

Add a dev_filetrans to readahead_manage_pid_files so any callers can create directories and files in /dev with this label.

mrtg needs to be able to create /var/lock/mrtg

mrtg needs to be able to create /var/lock/mrtg

Aisexec patch from Miroslav Grepl.

* openais needs ipc_owner and read/write user SysV sempaphores/shared memory

Whitespace fixes in userdomain.

Amavis patch for connecting to nslcd from Miroslav Grepl.

* needs to talk to nslcd
* needs sigkill
* executes shell

Sysnetwork patch from Miroslav Grepl.

* adds support for "ip xfrm" command which allows assign a context

Shorewall patch from Miroslav Grepl.

Fix typo

Add label for /usr/share/shorewall/getparams

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

xdm needs to read KDE config files

Smolt needs to look at urand and read hwdata

google talk plugin in nsplugin is listing the contents of /dev, adding dontaudit for tis