certmonger patch from Dan Walsh

courier patch from Dan Walsh

dcc patch from Dan Walsh

style change to djbdns.te

fetchmail patch from Dan Walsh

icecast patch from Dan Walsh

nslcd patch from Dan Walsh

nut patch from Dan Walsh

openct patch from Dan Walsh

Unconditional staff and user oidentd home config access from Dominick Grift.

Access for confined users to oidentd user home content is unconditional.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

add labeling for /root/.debug

- Allow all domains that can use cgroups to search tmpfs_t directory
- Allow init to send audit messages

Fixes for vmware-host policy

Allow a couple of sandbox issues.
Remove postgresl managing of etc_files, until I find out why it is needed.
Dontaudit leaks from rpm to mount

Add labels for /lib/readahead.
Add back gnome_setattr interface

Fix gnome_setattr_config_home
Allow exec of sandbox_file_type by calling apps
Fix typos

Fix some names in passenger policy

Move passenger policy to services

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy

Fix boolean descriptions

Allow dovecot-deliver to create tmp files
Allow tor to send signals to itself

- Add passenger policy

Fix cert calls in telepath, boinc, kerberos
Add sys_admin to xend to allow it to start
Add oident calls to staff_t

Merge branch 'master' of ssh://git.fedorahosted.org/git/selinux-policy; branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/admin/amanda.if
policy/modules/system/init.te
policy/modules/system/miscfiles.if
policy/modules/system/miscfiles.te
policy/modules/system/userdomain.if

rename mdadm_map_t to mdadm_var_run_t

More fixes for mozilla_plugin_t
Allow telepathy domains to send themselves sigkill
Label /etc/httpd/alias/*db as cert_t
Allow fprintd to sys_nice

Module version bumps for cert patch.

Fix missed deprecated interface usage from the cert patch.  Add back a few rolecap tags.

Implement miscfiles_cert_type().

This is based on Fedoras' miscfiles_cert_type implementation.
The idea was that openvpn needs to be able read home certificates (home_cert_t) which is not implemented in refpolicy yet, as well as generic cert_t certificates.

Note that openvpn is allowed to read all cert_types, as i know that it needs access to both generic cert_t as well as (future) home_cert_t. Dwalsh noted that other domains may need this as well but because i do not know exactly which domains i will not changes any other domains call to generic cert type interfaces.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Allow hugetlbfs_t to be on device_t file system
Allow sudo domains to signal user domains
Dontaudit xdm_t sending signals to all domains
Fix allow_exec* boolean descriptions

Module version bump for 8296eb2.

raid tools now store pid file and sock_file in /dev/md for early boot.

fixes for openvpn suggested by dgrift

Allow mozilla_plugin to create nsplugin_home_t directories
Allow hugetlbfs_t to be on device_t file system
Fix for ajaxterm policy
Fix type in dbus_delete_pid_files
Change openvpn to only allow search of users home dir

Remove unallocated tty access in amanda since it was originally there for the old targeted policy, and now all roles have a user tty type.

Clean up Anaconda policy.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Clean up Amtu module.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Clean up Amanda module.

Signed-off-by: Dominick Grift <domg472@gmail.com>

add policy for ajaxterm

add policy for ajaxterm

allow sudo to create sudo_db_t dirs

Allow crond to manage user_spool_cron_t link files
Allow init to delete dbus message.pid
Allow init and udev to create hugetlbfs directories

Allow sudo domains to manage /var/db/sudo
Allow init_t and initrc_t to dbus chat
Allow pulseaudio to read /usr/share/alsa/alsa.conf

Allow virt_domains to exec qumu_exec_t, add boolean to allow svirt_t to connect to x

Mozilla_plugin needs to getattr on tmpfs and no longer needs to write to tmpfs_t
cleanup of nsplugin interface definition
Latest pm-utils is causing lots of domains to see a leaked lock file
I want mplayer to run as unconfined_execmem_t
mountpoint is causing dbus and init apps to getattr on all filesystems directories
Miroslav update dkim-milter
NetworkManager dbus chats with init
Allow apps that can read user_fonts_t to read the symbolic link
udev needs to manage etc_t

Cleanup warnings

add sametime port definition

Fix apache interface

fix bad patch in xserver

Fix gnome interface definitions

add sametime port definition

fix typo in xserver_stream_connect

cleanup alsa patch to match upstream

Eliminate extras alsa_read_home interface

Any app that executes service command will not do a getattr of all mounted file systems

Allow apps that use pam to connect to init_t

Fix pootle

 Allow iptables to read shorewall tmp files
Change chfn and passwd to use auth_use_pam so they can send dbus messages to fprintd
label vlc as an execmem_exec_t
Lots of fixes for mozilla_plugin to run google vidio chat
Allow telepath_msn to execute ldconfig and its own tmp files
Fix labels on hugepages
Allow mdadm to read files on /dev
Remove permissive domains and change back to unconfined
Allow freshclam to execute shell and bin_t
Allow devicekit_power to transition to dhcpc
Add boolean to allow icecast to connect to any port

Merge with upsteam

Merge branches 'master', 'master' and 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/admin/alsa.fc
policy/modules/admin/alsa.if
policy/modules/kernel/filesystem.fc

Allow gpg_pinentry_t to use fifo files of apps that transition to gpg_agent
Add mozilla_plugin_tmp_t
Allow mozilla_plugin to interact with pulseaudio tmpfs_t
Add apache labels for poodle
Add boolean to allow apache to connect to memcache_port
nagious sends signal and sigkill to system_mail_t

Module version bumps for b7ceb34 5675107 e411968 eca7eb3.

Rearrange alsa interfaces.

Implement alsa_home_t for asoundrc. Clean up Alsa module.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Libcgroup moved the cgroup directory to /sys/fs/cgroup.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Do not try to relabel the contents of the /dev/shm directory.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Fix mmap_zero patch

Allow certmaster to read usr_t files.  All python apps are going to need this.
clvmd creates tmpfs files that corosync needs to communicate with
Allow dbus system services to search the cgroup_t directory

cleanup mmap_low merge with upstream

Merge branch 'master' of http://oss.tresys.com/git/refpolicy

Conflicts:
policy/modules/kernel/domain.if
policy/modules/services/xserver.te

define /sys/fs/cgroup as a <<none>> file system

Module version bump and changelog entry for conditional mmap_zero patch.

Fix mmap_zero assertion violation in xserver.

Allow all X apps to use direct dri if user_direct_dri boolean is turned on

firstboot is leaking a netlink_route socket into iptables.  We need to dontaudit
tmpfs_t/devpts_t files can be stored on device_t file system
unconfined_mono_t can pass file descriptors to chrome_sandbox, so need transition from all unoconfined users types
Hald can connect to user processes over streams
xdm_t now changes the brightness level on the system
mdadm needs to manage hugetlbfs filesystems

1/1] Make the ability to mmap zero conditional where this is fapplicable.

Retry: forgot to include attribute mmap_low_domain_type attribute to domain_mmap_low() :

Inspired by similar implementation in Fedora.
Wine and vbetool do not always actually need the ability to mmap a low area of the address space.
In some cases this can be silently denied.

Therefore introduce an interface that facilitates "mmap low" conditionally, and the corresponding boolean.
Also implement booleans for wine and vbetool that enables the ability to not audit attempts by wine and vbetool to mmap a low area of the address space.

Rename domain_mmap_low interface to domain_mmap_low_uncond.

Change call to domain_mmap_low to domain_mmap_low_uncond for xserver_t. Also move this call to distro redhat ifndef block because Redhat does not need this ability.

Signed-off-by: Dominick Grift <domg472@gmail.com>

Fix sandbox tcp_socket calls to create_stream_socket_perms
Dontaudit sandbox_xserver_t trying to get the kernel to load modules
telepathy_msn sends dbus messages to networkmanager
mailman_t trys to read /root/.config
xserver tries to getpgid on processes that start it.
pam_systemd causes /var/run/users to be called for all login programs.  Must allow them to create directories

Allow qmail to use uucpd
Fixes found by Tom London for devicekit and udev using usbmuxd socket

Add Miroslav Grepl patch for jabberd, adding new type for jabberd router.

Allow prelink to read dbus config/Broken
nsplugin_config wants the kernel to load modules for it.
mount writes into livecd_tmp_t directories

Apply Dominick Grift typo fixes

Allow hald to transition to netutils
Block signal via mcs systems

merge latest upstream

Dontaudit signals from sandbox domains to domains that transition to them

Dontaudit socket leaks when running semanage code

Fix spelling mistake

More fixes

Policy fixes

More fixes

Latest fixes

Update f14

Fixes for f14

ditto

whoya

Update f14

Fix policy

reset

Modified amanda