Dontaudit (xdm_t) gok attempting to list contents of /var/account
Telepathy domains need to read urand
Need interface to getattr all file classes in a mock library for setroubleshoot

allod systemd_tmpfiles_t to delete /root/.* flags

Add boot.log support to plymouthd

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Conflicts:
policy/modules/system/init.if

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/system/init.if

Add label for dkim-milter

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/system/init.if

add authlogin_use_sssd to turn off access to ldap ports

Init needs to delete symlinks from /dev

Put dirsrv code in proper interface

Need label for /var/lib/dkim-milter

Prelink needs setfcap to restore file capabilities

Fixup to match upstream.

Fix access vectors so they do not break libselinux

Allow mpd to read sound device

Fixes for samhain init_system_domain() usage.

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Add type for /usr/share/sandbox/start, so we can run sandbox on nfs shares

Whitespace fixes in init.

Rearrange distro blocks in init.fc

Fix OpenRC status dir labeling for Gentoo

Signed-off-by: Chris Richards <gizmo@giz-works.com>

Fix OpenRC status dir labeling for Gentoo

Current policy sets /lib(32|64)?/rc/init.d to lib_t.  This causes
problems for DHCP among other things, as the initrc domain does not
have permissions to perform some operations.  Changing to
initrc_state_t (the labeling used for /var/lib/init.d by
the older baselayout-1) resolves some of these issues.

Signed-off-by: Chris Richards <gizmo@giz-works.com>

Fix samhain range transitions for MLS/MCS and a type transition conflict.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add setuid capability for vpnc

Add changelog entry for samhain.

Cleanup samhain.if.

* Rearrange rules in the template.
* Remove samhain_etc_t:dir perms since there are no such dirs.
* Add extra docs in samhain_domtrans().
* Include samhaind_t in admin interface process perms.

Move samhain domain declarations into its template.

Reorder samhain call in userdomain.

Whitespace fixes in samhain.

Add support for the samhain program.

Note, extra privileges may need to be granted to the samhain domain
if its default configuration file(/etc/samhainrc) is changed.

The samhain program could be used in the following way:

(In secadm_r role)
1. Initialize filesystem signature database:
newrole -l s15:c0.c1023 -p -- -c "samhain -t init"

(Note, the current secadm console will be blocked until
the database is completed)

2. Start samhain deamon to check filesystem integrity
newrole -l s15:c0.c1023 -p -- -c "samhain -t check -D"

3. Update filesystem signature database:
newrole -l s15:c0.c1023 -p -- -c "samhain -t update"

(In sysadm_r role)
1. Start samhain in daemon mode:
run_init /etc/init.d/samhain start

2. Stop samhain daemon:
run_init /etc/init.d/samhain stop

3. Check samhain daemon status:
run_init /etc/init.d/samhain status

4. Read/write samhain log files:
newrole -l s15:c0.c1023 -p -- -c "cat /var/log/samhain_log"

5. Remove samhain database files
newrole -l s15:c0.c1023 -p -- -c "rm /var/lib/samhain/samhain_file"

Note:
1. Stop samhain daemon before updating signature database.
2. Don't try to start samhain daemon twice.
3. Need to toggle SELinux into the Permissive mode in order to remove
   the samhain_log files from /var/log/.

Signed-off-by: Harry Ciao <qingtao.cao@windriver.com>

Mistake in plymouth.te, should allow plymoutd to delete /var/log/boot.log
GoogleTalkPlugin is causing nsplugin to need to listen on tcp_socket, as well as list sysfs and create netlink_kobject_socket

Fixes for boinc and munin policy

Fix mojomojo module author. Apologies to Iain Arnell for the typo.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Fix for dkim-milter

remove per sandbox domains devpts types

Allow sandbox to run on nfs partitions, fixes for systemd_tmpfs

Allow domains that transition to ping or traceroute, kill them
Allow user_t to conditionally transition to ping_t and traceroute_t
Add fixes to systemd- tools, including new labeling for systemd-fsck, systemd-cryptsetup

fixes for systemd apps

Label /var/run/*cron* as crond_var_run_t

Remove dulicate declaration

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit sys_ptrace capablitity for mozilla-plugin

Update Changelog and VERSION for release.

mozilla_plugin needs to read certs in the homedir.

Certmonger needs more access
nero libraries need textrel_shlib_t

Bump module versions for release.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit leaked file descriptors from devicekit
Fix ircssi to use auth_use_nsswitch
Change to use interface without param in corenet to disable unlabelednet packets
Allow init to relabel sockets and fifo files in /dev
certmonger needs dac* capabilities to manage cert files not owned by root
dovecot needs fsetid to change group membership on mail
plymouthd removes /var/log/boot.log
systemd is creating symlinks in /dev
Change label on /etc/httpd/alias to be all cert_t

Allow alsa to create tmp files in /tmp
adobre dir in user home directory needs to be created with the proper label

Fixes for clamscan and boinc policy

Add boinc_project_t setpgid

Push fixes to allow disabling of unlabeled_t packet access

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fixes for lvm to work with systemd

Allow callers of userdom_read_home_certs to search all directories in user home

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow avahi to request the kernel to load a module

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Dontaudit hal leaks
Fix gnome_manage_data interface

Merge branch 'openct_retry'

Add new interface corenet_packet to define a type as being an packet_type.
Removed general access to packet_type from icecast and squid.
I am planning on writing a blog on how to use packet types internet_packet an intranet packet to setup specific domains that can use the internet and the intranet.

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix the label for wicd log
plymouthd creates force-display-on-active-vt file
Allow mpd to read alsa config

http://lists.fedoraproject.org/pipermail/selinux/2010-December/013294.html

Add the proper fix for systemd_device_t (move from device.te to systemd.te)

Add back logging_create_devlog_dev(init_t) rule

Fixes for successful policy build with systemd policy

Add systemd policy for some systemd components

Add appropriate interface for pam_var_console_t type (it is needed by systemd_tmpfiles_t domain which will be added)

Fix gnome_manage_data interface

Dontaudit sys_ptrace capability for iscsid

Fixes for nagios plugin policy

Add mcsnetwrite to allow kernel to write to all mcs levels

Fix typo

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Conflicts:
policy/modules/services/devicekit.te

Add mount fowner capability

Fix cron to run ranged when started by init
Fix devicekit to use log files
Dontaudit use of devicekit_var_run_t for fstools
Allow init to setattr on logfile directories

Add devicekit_log

Add access to rpm to handle disabled unconfined.pp and unconfineduser.pp
Devicekit now launches pm-utils

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow hald to manage files in /var/run/pm-utils/ dir which is now labeled as devicekit_var_run_t

When you have no hal installed then devicekit power runs the pm utils, which write logs.

Redo a98fdd1c1577ab3c3f8dcd6442e48e6fcd11ef87

Signed-off-by: Dominick Grift <domg472@gmail.com>

Allow mozilla_plugin to run mplayer
Allow ftp to manage /var/run/user/*
Allow ssh_keygen_t to create /root/.ssh directory

Allow apache to read git generic system content

Add appropriate interface for config files
Allow posftfix-smtpd to connect to dovecot unix domain stream socket

Allow dovecot to manage data_home_t

Allow dovecot to manage data_home_t
Allow clear dac overrides
Fix dirsrv.te to talk to rpcbind

Allow sysadmin to dbus chat with rpm
Add interface for rw_tpm_dev
Allow cron to execute bin
fsadm needs to write sysfs

Dontaudit consoletype reading /var/run/pm-utils
Lots of new privs fro mozilla_plugin_t running java app, make mozilla_plugin less usefull
certmonger needs to manage dirsrv data

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

/var/run/pm-utils should be labeled as devicekit_var_run_t
Fix leaked file descriptor

Add appropriate interface for lock files

Add appropriate interface for pid files

Allow chrome_sandbox to getattr on processes that transition to domain
Allow dnsmasq to create directory in virt_var_run_t
Allow init to relabel /var/run/pam_console

allow ssh_keygen to generate files in /root/.ssh

Fix typo