Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix clvmd_tmpfs_t declaration

syslog_t needs syslog capability

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow cron to setup the cgroups

Fix file context for zabbix

The mdadm application will write into /sys/.../uevent whenever arrays are
assembled or disassembled.

dirsrv needs to be able to create /var/lib/snmp

Fix labeling for dirsrv

Fix typo

Fix up for dirsrv policy missing manage_dirs_pattern, dontaudit xdm_t getattr on all exec_type, pidof seems to be looking for this

Fix lvm interfaces

corosync needs to delete clvm_tmpfs_t files, and qdiskd needs to list hugetlbfs

Move setsched to sandbox_x_domain, so firefox can run without network access

additional perms to read_policy

Adding syslog and read_policy permissions to policy

syslog
Allow unconfined, sysadm_t, secadm_t, logadm_t

read_policy
allow unconfined, sysadm_t, secadm_t, staff_t on Targeted
Allow sysadm_t (optionally), secadm_t on MLS

Allow hddtemp to read removable devices
Allow firewalld to dbus chat with policykit

Fix httpd_selinux man page to refer to httpd_sys_rw_content_t

fix port defs

Remove Dup call

Add tcsd policy from Steven Smalley

Add policy developed by steve smalley for tcsd

Allow dbus to use setrlimit to increase resoueces

ricci_modclusterd_t needs to bind to rpc ports 500-1023

Changelog for cron default contexts fix from Harry Ciao.

Fix cron job process' domain during system booting up.

When SELinux user system_u starts crond during system booting up, its
cron job process should be in the system_cronjob_t domain, which has
the required entrypoint permission on system crontab files labeled as
system_cron_spool_t. Otherwise we can run into below error messages:

Jan 31 08:40:53 QtCao crond[535]: (system_u) Unauthorized SELinux context (/etc/crontab)
Jan 31 08:40:53 QtCao crond[535]: (system_u) Unauthorized SELinux context (/etc/cron.d/sysstat)

The weird thing is that the getdefaultcon command even can not fetch
"system_r:cronjob_t:s0" but "system_r:logrotate_t:s0" ! After fixing
default_contexts files the getdefaultcon command could properly fetch
"system_r:system_cronjob_t:s0" :

root@QtCao:/root> getdefaultcon system_u system_u:system_r:crond_t:s0
system_u:system_r:logrotate_t:s0
root@QtCao:/root>
root@QtCao:/root> grep crond_t /etc/selinux/refpolicy-mls/contexts/default_contexts
system_r:crond_t:s0 user_r:cronjob_t:s0 staff_r:cronjob_t:s0 sysadm_r:cronjob_t:s0 system_r:system_cronjob_t:s0 unconfined_r:unconfined_cronjob_t:s0
root@QtCao:/root>
root@QtCao:/root> getdefaultcon system_u system_u:system_r:crond_t:s0
system_u:system_r:system_cronjob_t:s0
root@QtCao:/root>

Signed-off-by: Harry Ciao <qingtao.cao@windriver.com>

Mozilla_plugin is leaking to sandbox

Changelog for man page changes from Justin Mattock.

policy/modules/system/lvm.te Typo change directores to directories, and also clean up a comment.

The below patch changes a typo "directores" to "directories", and also
fixes a comment to sound more proper.

Signed-off-by: Justin P. Mattock <justinmattock@gmail.com>

man/man8 Change SElinux to SELinux.

The below patch, changes the workd SElinux to SELinux to match the rest
in the policy and outside.

Signed-off-by: Justin P. Mattock <justinmattock@gmail.com>

Fix incorrect dependenices in init module interfaces (init_t as an attribute rather than type).

Allow confined users  to connect to lircd over unix domain stream socket which allow to use remote control
Allow awstats to read squid logs

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

seunshare needs to manage tmp_t
apcupsd cgi scripts have a new directory

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix other typo

Fix typo

Fix xserver_dontaudit_read_xdm_pid
Allow loadkeys to read keyboardd unnamed pipes

Change oracle_port_t to oracledb_port_t to prevent conflict with satellite
Allow dovecot_deliver_t to read/write postfix_master_t:fifo_file.  These fifo_file is passed from postfix_master_t to postfix_local_t to dovecot_deliver_t

Allow sendmail to read and write to sendmail unnamed pipes

Allow readahead to manage readahead pid dirs
Allow postfix-local transition to sendmail

allow readahead to read all mcs levels

allow mozilla_plugin_t to use nfs or samba homedirs

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Namespace.init runs restorecon, want to maintain the role
smartmon reads removable_t devices
Fix tabs in selinuxutil interface file

Fix typo

- Allow nagios plugin to read /proc/meminfo
- Allow asterisk to connect to festival port

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix for mozilla_plugin

Fix plugin-container label
Allow gnomeclock to execute ntp init script

Cleanup policy

Fix interface name

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow samba_net_t to create /etc/keytab

pppd_t setting up vpns needs to run unix_chkpwd, setsched its process and write wtmp_t

Revert "Fix files_polyinstantiate_all interface to make namespace_init working properly"

This reverts commit c152556387e1102fc114987772c95fe5f6983717.

Fix files_polyinstantiate_all interface to make namespace_init working properly

nslcd can read user credentials

Allow nsplugin to delete mozilla_plugin_tmpfs_t
Remove extra line from virt_t fifo_file definition

abrt tries to create dir in rpm_var_lib_t

virt relabels fifo_files

sshd needs to manage content in fusefs homedir

sshd needs to manage content in fusefs homedir

mock manages link files in cache dir

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix typo

Fix patch

Change labels on xulrunner content to make firefox work from within sandbox

nslcd needs setsched and to read /usr/tmp

Invalid call in likewise policy ends up creating a bogus role

Cannon puts content into /var/lib/bjlib that cups needs to be able to write

Allow screen to create screen_home_t in /root

user_t read md5 data in /proc

dirsrv sends syslog messages

add allow_execmod support for user_t and staff_t

fix label on /var/lib/debug...

pinentry reads stuff in .kde directory

Add labels for .kde directory in homedir

Add new mount directory /dev/.mount

Treat irpinit, iprupdate, iprdump services with raid policy

Fix patch

Cleanup patch

Add syslog capability.

Update

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

.forward file can cause postfix_local to execute local content

.forward.* Needs to be labeled mail_home_t

kerberos needs to be able to connect to ldap server if colocated

Fix duplicate declaration

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix cobbler_list_config interface

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Guido Trentcalancia patch on cpufreqselector

Guido Trentcalancia patch on cpufreqselector

Guido Trentcalancia patch on cpufreqselector

Guido Trentcalancia patch on cpufreqselector

allow newrole to list var_t

NetworkManager wants to read consolekit_var_run_t

comment out gnome-keyring-daemon label, to prevent transition