- Allow groupd transition to fenced domain when executes fence_node
- Fixes for rchs policy
- Allow mpd to be able to read samba/nfs files

Since all domains that use_nfs_home_dirs call read or write nfs, I am adding the ability to search automountpoints directory

- Allow bitlebee to setsched
- Allow certmonger to execute ipa- commands and connect to apache ports
- Qpidd talks to corosync
- Add labeling for /var/log/faillock
- Stop relabling from going into /var/lib/debug

Fix up corecommands.fc to match upstream
Make sure /lib/systemd/* is labeled init_exec_t
mount wants to setattr on all mountpoints
dovecot auth wants to read dovecot etc files
nscd daemon looks at the exe file of the comunicating daemon
openvpn wants to read utmp file
postfix apps now set sys_nice and lower limits
remote_login (telnetd/login) wants to use telnetd_devpts_t and user_devpts_t to work correctly
Also resolves nsswitch
Fix labels on /etc/hosts.*

Cleanup to make upsteam patch work
allow abrt to read etc_runtime_t

Update to upstream

AIDE can be configured to log to syslog

Change /dev/log fc to MLS system high.

When the syslog recreates this sock_file on startup, it gets this sensitivity anyway.
This will prevent incorrect relabeling if /dev is relabeled.

Move kdump to admin dir

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/kernel/corecommands.fc
policy/modules/roles/sysadm.te
policy/modules/roles/unprivuser.te
policy/modules/services/bitlbee.te
policy/modules/services/oident.te
policy/modules/services/tor.te
policy/modules/system/kdump.if
policy/modules/system/kdump.te

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Update dirsrv to build

Allow corosync transition to drbd domain

Add initial policy for drbd service

Fixes for corosync policy

- Fix sandbox to work on nfs homedirs
- Allow cdrecord to setrlimit
- Allow mozilla_plugin to read xauth
- Change label on systemd-logger to syslogd_exec_t
- Install dirsrv policy from dirsrv package

Add virt_home_t, allow init to setattr on xserver_tmp_t and relabel it
Udev needs to stream connect to init and kernel

Add xdm_exec_bootloader boolean, which allows xdm to execute /sbin/grub and read files in /boot directory

Fix deprecated interface usage in vlock.

Whitespace fix in secadm.te and auditadm.te.

Make auditadm & secadm able to use vlock

Make the auditadm and secadm able to use the vlock program.
Also bump their module versions.

Signed-off-by: Harry Ciao <qingtao.cao@windriver.com>

 Allow NetworkManager to read openvpn_etc_t
- Dontaudit hplip to write of /usr dirs
- Allow system_mail_t to create /root/dead.letter as mail_home_t
- Add vdagent policy for spice agent daemon

Module version bump for vlock.  Changelog entry.

Rename vlock interfaces.

Rearrange rules in vlock.

Adding support for the vlock program.

Both the system administrator and the unprivileged user could use vlock
to lock the current console when logging in either from the serial console
or by ssh.

Signed-off-by: Harry Ciao <qingtao.cao@windriver.com>

Dontaudit hplip to write of /usr dirs

- Dontaudit sandbox sending sigkill to all user domains
- Add policy for rssh_chroot_helper
- Add missing flask definitions
- Allow udev to relabelto removable_t
- Fix label on /var/log/wicd.log
- Transition to initrc_t from init when executing bin_t
- Add audit_access permissions to file
- Make removable_t a device_node
- Fix label on /lib/systemd/*

Git man page from Dominick Grift.

FTPd man page patch from Dan Walsh.

Add mounting interfaces for selinuxfs.

Module version bump for oident.  Additional comments for kernel loading.

oident patch from Dan Walsh

Additional rearrangement in tor and module version bump.

tor patch from Dan Walsh

Added additional access for dns server (bind on the port shouldn't be enough)

Additional rearrangement in corecommands, along with module version bump.

corecommands patch from Dan Walsh: "Lots of bin_t files"

Sosreport changelog entry.

Move sosreport to admin layer.

Minor sosreport cleanup.

Allow lowatch to use zz-disk_space logwatch script

Dontaudit firstboot leaks
Allow sandbox web to read alsa config
Allow nrpe_t to read config
Allow dhcpc_t to read /etc/pki

sosreport policy from Dan Walsh

- A couple style fixes

Move kdump to admin layer.

Module version bump for kdump.

Module version bump for setrans.

setrans patch from Dan Walsh

Edits:
 - Leaving out the mls_trusted_object(setrans_t) for now

kdump patch from Dan Walsh

Module version bump for asterisk.

asterisk patch from Dan Walsh

- Allow chome to create netlink_route_socket
- Add additional MATHLAB file context
- Define nsplugin as an application_domain
- Dontaudit sending signals from sandboxed domains to other domains
- systemd requires init to build /tmp /var/auth and /var/lock dirs
- mount wants to read devicekit_power /proc/ entries
- mpd wants to connect to soundd port
- Openoffice causes a setattr on a lib_t file for normal users, add dontaudit
- Treat lib_t and textrel_shlib_t directories the same
- Allow mount read access on virtual images

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Allow devicekit_power to domtrans to mount
Allow dhcp to bind to udp ports > 1024 to do named stuff
Allow ssh_t to exec ssh_exec_t

Module version bump for hotplug.

Module version bump for bitlbee.

Module version bump for wireshark patch.

wireshark patch from Dan Walsh

files_poly_member is provided by userdom_user_home_content
Whitespace fixes

Module version bump for apcupsd patch.

Module version bump for avahi patch.

Avahi patch from Dan Walsh

Dropped file read from dbus_chat

apcupsd patch from Dan Walsh

bitlbee patch from Dan Walsh

hotplug patch from Dan Walsh

Remove telepathy_butterfly_rw_tmp_files(), dev_read_printk() interfaces which are nolonger used
Fix clamav_append_log() intefaces

Fix 'psad_rw_fifo_file' interface

remove setroubleshoot stuff

Merge branch 'master' of ssh://git.fedorahosted.org/git/setroubleshoot

Don't transition to mount but allow devicekit_power_t to execute it.

Mount seems to be doing an access(W_OK) check on all file systems before mounting, Need to allow this so mount will succeed.
Chrome sandbox needs to read gnome_home content
mailers need to be able to append to dead.letter

Add sys_resource capability to httpd when httpd_setrlimit is turned on

Allow devicekit_power_t to transition to readahead and mount
Allow devicekit_power_t to get the privs of hal
Add privs to systemd to be able to run systemd-tmpfiles
Fix definition of rw_inherited_term_perms
Sandbox seems to be attempting to send signull to applications

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Add role parameter for these interfaces

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/support/obj_perm_sets.spt

Dontlabel systemd-tmpfiles as tmpreaper_exec_t

Fix /var/lib/rsyslog file context

Allow dnsmasq to read resolv.conf under ppp directories
Allow loginprograms to connect to userdomain ssh-agent for pam_ssh

fix typo

Mount command from a confined user generates setattr on /etc/mtab file, need to dontaudit this access
dovecot-auth_t needs ipc_lock
gpm needs to use the user terminal
Allow system_mail_t to append ~/dead.letter
Allow NetworkManager to edit /etc/NetworkManager/NetworkManager.conf
Add pid file to vnstatd
Allow mount to communicate with gfs_controld
Dontaudit hal leaks in setfiles

obj_perm_sets: so that use_terminal interfaces also allow append.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Two insignificant fixes that i stumbled on when merging dev_getattr_fs()

Signed-off-by: Dominick Grift <domg472@gmail.com>

Module version bump for Dominick's su cleanup.

Rename init_search_script_key() to init_search_script_keys().

su: wants to read inits script keyring.

Signed-off-by: Dominick Grift <domg472@gmail.com>

su: redundant, init_dontaudit_use_script_ptys($1_su_t)

Signed-off-by: Dominick Grift <domg472@gmail.com>

Module version bump for Dominick's consoletype cleanup.

consoletype: redundant.

Signed-off-by: Dominick Grift <domg472@gmail.com>

consoletype: needs to use system dbus file descriptors.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Remove duplicate interface.

Missing file context specifications for /lib/udev/devices.

Module version bump for Dominick's sudo cleanup.

sudo: wants to get attributes of device_t filesystems.

Signed-off-by: Dominick Grift <domg472@gmail.com>

More fixes for systemd

Parts of systemd are now doing readahead and tmpreaper functionality
systemd relabeles tmpfs_t to cgroup_t
Other systemd fixes

sudo: wants to get attributes of generic pts filesystems.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Revert su default_t rule.

Module version bump for Dominick's su cleanup.

su: search parent.

Signed-off-by: Dominick Grift <domg472@gmail.com>

su: wants to search callers keyring.

Signed-off-by: Dominick Grift <domg472@gmail.com>