Dontaudit piranha-gui to read and write snmpd libraries files

Allow chrome sandbox to connect to web ports
allow dovecot to listem on lmtp and sieve ports
Allove ddclient to sesearch sysctl_net_t

transition back to original domain if you execute the shell

fixes to allow /var/run and /var/lock as tmpfs

Update to fedora package from miroslav,

Add permissions for mount on mls machines

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Conflicts:
policy/modules/kernel/kernel.if
policy/modules/services/portreserve.if
policy/modules/services/smokeping.te
policy/modules/system/miscfiles.fc
policy/modules/system/mount.te
policy/support/obj_perm_sets.spt

mount needs to write_proc_to_clearance

Allow jabberd domains to read system state information in /proc

In Fedora 14 it is confirmed that cgconfig needs to be able to unmount cgroup_t:filesystem when you "service cgconfig stop".

Signed-off-by: Dominick Grift <domg472@gmail.com>

Remove duplicate declaration

Cleanup merge

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/kernel/kernel.if
policy/modules/services/portreserve.if
policy/modules/services/smokeping.te
policy/modules/services/ulogd.te
policy/modules/services/uucp.te
policy/modules/system/miscfiles.fc
policy/modules/system/mount.te
policy/support/obj_perm_sets.spt

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/kernel/kernel.if
policy/modules/services/portreserve.if
policy/modules/services/smokeping.te
policy/modules/services/ulogd.te
policy/modules/services/uucp.te
policy/modules/system/miscfiles.fc
policy/modules/system/mount.te
policy/support/obj_perm_sets.spt

Add attribute to be able to select sandbox types

Add attribute to be able to select sandbox types

Cleanup for sandbox

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Cleanup for sandbox, allow httpd to read var_t symlinks

Add virtio_device_t type
Fixes for vdagent policy

Make unlabeled_t have the ability to be disabled

Cleanup boolean desription

dontaudit leak from init_t to mount_t

cleanup boolean descriptions

Cleanup boolean descriptions and fix files_relabel_all_tmp interfaces

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Cleanup boolean descriptions, so setroubleshoot can give better comments

Add cgred_log_t type for cgred log file
Fixes for munin plugin policy

Allow dbus system domain clients to send dgram messages to systemd

Make sandbox work on nfs homedirs
Allow init to relabel all /tmp dirs
Allow avahi to signull rpcbind

- Allow ddclient to fix file mode bits of ddclient conf file

add label for gssd_tmp_t for /var/tmp/nfs_0, init leaks file descriptors to daemons

Module version bump for portreserve.

portreserve patch from Dan Walsh
"Add _admin domain."

Module version bump for privoxy.

privoxy patch from Dan Walsh
"split out squid port from http_cache.  Need to allow all places that
connect to httpc_cache to connect to squid_port"

Edits:
 - Removed tunable tabbing

Module version bump for radius.

Module version bump for smokeping.

smokeping patch from Dan Walsh
"smokeping tries to read shadow"

radius patch from Dan Walsh
"radious execs ntml_auth
tmpfs /var/run"

Module version bump for ulogd.

Move all ulogd networking into the mysql and postgres optionals.

add labels for /etc/lirc/ and allow amavis_t to exec shell

Fix lircd missing lircd_etc_t

ulogd patch from Dan Walsh
"communicates with mysql and postgres via the network"

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fixes for rawhide boot,

Turn on allow_postfix_local_write_mail_spool

Allow initrc_t to transition to shutdown_t
Allow chrome_sandbox_t to read route table

allow logwatch and cron to mls_read_to_clearance for MLS boxes
Allow wm to send signull to all applications and receive them from users
licd patch from field
login programs have to read /etc/samba
New prograns under /lib/systemd
Abrt needs to read config files

Module version bump for usbmuxd.

usbmuxd patch from Dan Walsh
"Lots of stuff labeled var_run_t"

Module version bump for uucp.

uucp patch from Dan Walsh
"Executes ssh to setup connection"

Module version bump for varnishd.

varnishd patch from Dan Walsh
"Kills it self
+ varnishd_read_lib_files(services_munin_plugin_t)"

Module version bump for hostname.

Module version bump for miscfiles.

Additional miscfiles tweaks.

system_miscfiles patch from Dan Walsh
"move cobbler, Allow policy to define certs."

hostname patch from Dan Walsh
"Hostname access Seems to attract leaks."

Edits:
 - No dontaudit_leaks in refpolicy, dropped those interface calls, leaving only nis_use_ypbind

Patch for Stephen Beahm for ulogd policy

add fsetid to cgconfig_t

add label for mcelog-client

Remove duplicate declaration of files_search_spool() interface

- lircd_etc_t label for lirc config  is no longer needed

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

dontaudit leaked sockets from userdomains to user domains

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fixes for mcelog to handle scripts
Apply patch from Ruben Kerkhof
Allow syslog to search spool dirs

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Fix typo in interface name

Signed-off-by: Ruben Kerkhof <ruben@rubenkerkhof.com>

Allow apache to search zarafa config

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow system_mail_t to create mail_home_t

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Fix sasl_admin interface

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow nagios plugins to read usr files

Fix labels on /etc/mcelog/triggers to bin_t

- Allow mysqld-safe to send system log messages
- Fixes for ddclient policy
- Allow munin plugins to search /var/lib directory
- Allow gpsd to read sysfs_t

Allow saslauthd_t to create krb5_host_rcache_t files in /tmp
Fix xserver interface
Fix definition of /var/run/lxdm

init executes mcelog, initrc_t needs to manage faillog.
fix xserver_ralabel_xdm_tmp_dirs
Allow dovecot_deliver_t to list dovecot_etc_t
Run acroread as execmem_t

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

- Fix typo

Fix build problem

Add tun_socket ubac constraint and add tun_socket to socket_class_set.

Module version bump for Chris Richards' mount patchset.

Minor fixes for Chris Richards' mount patchset.

kdump leaks kdump_etc_t to ifconfig, add dontaudit
uux needs to transition to uucpd_t
More init fixes relabels man,faillog
Remove maxima defs in libraries.fc
insmod needs to be able to create tmpfs_t files
ping needs setcap

dontaudit mount writes to newly mounted filesystems

Signed-off-by: Chris Richards <gizmo@giz-works.com>

dontaudit mount writes to newly mounted filesystems

Signed-off-by: Chris Richards <gizmo@giz-works.com>

dontaudit mount writes to newly mounted filesystems

Signed-off-by: Chris Richards <gizmo@giz-works.com>

dontaudit mount writes to newly mounted filesystems

Signed-off-by: Chris Richards <gizmo@giz-works.com>

dontaudit mount writes to newly mounted filesystems

As of util-linux-n 2.18, the mount utility now attempts to write to the root
of newly mounted filesystems.  It does this in an attempt to ensure that the
r/w status of a filesystem as shown in mtab is correct.  To detect whether
a filesystem is r/w, mount calls access() with the W_OK argument.  This
results in an AVC denial with current policy.  As a fallback, mount also
attempts to modify the access time of the directory being mounted on if
the call to access() fails.  As mount already possesses the necessary
privileges, the modification of the access time succeeds (at least on systems
with the futimens() function, which has existed in linux since kernel 2.6.22
and glibc since version 2.6, or about July 2007).

Signed-off-by: Chris Richards <gizmo@giz-works.com>

Remove bogus line in sandbox.te
fsadm_t wants to read fuse_device_t
allow init to relabel wtmp and tmpfiles
Allow sasl to create kerberos cache file

Allow mount to read/write removable_t blk files

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow puppet to read certs and execute useradd and groupadd