trivial aide fix from dan

Patch to allow slocate to getattr other filesystems and directories on those filesystems from Dan Walsh.

trivial fix for netutils from dan

trivial fix from dan for bluetooth

missed piece of clip patch

Fixes for RHEL4 from the CLIP project.

Replace the old lrrd fc entries with correct munin ones.

Move program admin template usage out of userdom_admin_user_template() to sysadm policy in userdomain.te to fix usage of the template for third parties.

Fix clockspeed_run_cli() declaration, it was incorrectly defined as a template instead of an interface.

final release entries for 20070417

bump module versions for release

last piece of previous consolekit patch

add zabbix from dan

5 patches from dan.  confine insmod and udev on targeted, misc fc fixes, sasl kerberos use, and samba port fixes

more consolekit updates from dan

last piece of dan's previous patch

confine ldconfig in targeted, from dan

from dan:

kadmind trys to setattr on krb5kdc file.  Just a library checking access.

six patches from dan

man page updates from dan

gentoo /lib can be a symlink on x86-64 systems

fix http_script_domains, it was incorrectly applied to the content type rather than the script domain.  bug #24.

emit "null" instead of NULL for userspace headers

bools in modules fix to require the boolean in optionals that are part of the base module, and move bool declarations in the base module/monolithic

add refresh target to devel makefile which tries to reload all of the modules currently in the store.

Two patches from Paul Moore to for ipsec to remove redundant rules and have setkey read the config file.

six trivial patches from dan for iptables, netutils, ipsec, devices, filesystem and cpuspeed

- Move booleans and tunables to modules when it is only used in a single
  module.
- Add support for tunables and booleans local to a module.

Merge sbin_t and ls_exec_t into bin_t.

remove disable_trans booleans

Output different header sets for kernel and userland from flask headers.

deprecated pax class

network fix from dan

one-liner from dan

patch from dan to have ricci modstorage transition to lvm

stop adding netfilter contexts, as decided at the developers summit

add fail2ban from dan

kudzu will telinit to make init re-read the inittab after configuring serial consoles

Add dontaudits for init fds and console to init_daemon_domain().

create user gpg keys dir patch from dan

add kvmfs support, from dan

trivial patch for radius from dan

trivial patch from dan for sysstat access to sysfs

other part of consolekit addition

from Dan:
This is a new policy for the User Switching capability coming in gnome.

consolekit is a daemon that communicates with xdm_t and hal through dbus to change the
ownership/access on certain devices when the login session changes from one user to another

patch from Dan for sudo:
sudo should be able to getattr on all executables not just
bin_t/sbin_t.  Confined executeables run from sudo need this.

sudo_exec_t needs to be marked as exec_type so prelink will work correctly.

sudo semanage should work

It was just pointed out to me that the raw IP socket class is missing from the
recvfrom MLS constraint.

Signed-off-by: Paul Moore

fix for rh bug 203290

last bit of dans patch

Patch for handling restart of nscd when ran from useradd, groupadd, and admin passwd, from Dan Walsh.

procmail uses /tmp files
Wants to send signull to itself
Can exec ls
Read spamassinn_lib_dirs
New directory for spamassin /var/lib/
pyzor uses tmp files

trivial change from dan

setroubleshoot has a plugin that checks the file context on disk versus a matchpathcon.  So needs additional privs

Patch for gssd fixes from Dan Walsh

patches for lvm and ricci fixes from Dan Walsh.

lmtp and smtp are the same file require same context of setfiles complains
postfix_pickup_t wants to read postfix_spool_maildrop_t dir

patches for file contexts in networkmanager, miscfiles, corecommands, devices, and java from Dan Walsh.

Patch for kerberized telnet fixes from Dan Walsh.

Patch for kerberized ftp and other ftp fixes from Dan Walsh.

Patch for an additional wine executable from Dan Walsh.

Patch for additional games file contexts from Dan Walsh.

Add support for libselinux 2.0.5 init_selinuxmnt() changes.

fix man page patch from dan walsh

add init_exec() to init_telinit().

Patch for misc fixes to bluetooth from Dan Walsh.

On Tue, 2007-02-20 at 12:02 -0500, Daniel J Walsh wrote:
> Eliminate excess avc messages created when using kerberos libraries
>
> krb5kdc wans to setsched
>
> Also uses a fifo_file to communicate.
>
> Needs to search_network_sysctl

Patch to start deprecating usercanread attribute from Ryan Bradetich.

add dccp_socket object class

On Tue, 2007-02-20 at 12:30 -0500, Daniel J Walsh wrote:
> prelink creates temporarly files that it then needs to relabel.

On Tue, 2007-02-20 at 12:28 -0500, Daniel J Walsh wrote:
> audit needs fsetid
>
> syslog needs to be able to create a tcp_socket for off machine logging.

Patch to remove redundant mls_trusted_object() call from Dan Walsh.

Patch for misc fixes to nis ypxfr policy from Dan Walsh.

Patch to allow apmd to telinit from Dan Walsh.

While using samba and SELinux with Debian GNU/Linux (etch) the
following files need to be labeled correctly:
/var/run/samba/gencache.tdb
/var/run/samba/share_info.tdb

Should also concern other distributions than Debian.

-Stefan

Patch to remove incorrect cron labeling in apache.fc from Ryan Bradetich.

make ttys and ptys device nodes

patch from dan, Thu, 2007-01-25 at 08:12 -0500

Fix explicit use of httpd_t in openca_domtrans(), bug #22.

Fix explicit use of httpd_t in openca_domtrans(), bug #22.

Clean up file context regexes in apache and java, from Eamon Walsh:

Some file_contexts regular expressions in refpolicy-strict are causing
genhomedircon to die; refpolicy is failing to build for me entirely.

The regular expressions seem redundant to me, perhaps I am missing
something, but the following patch fixes the problems for me.  Please
review and apply

update version and changelog for release

bump versions for release.

merge policy patterns to trunk

patch from dan Wed, 29 Nov 2006 17:06:40 -0500

patch from dan for some missing gen_require()s

fix dontaudit interface that was allowing instead of dontauditing; thanks to karl for pointing this out.

fix dontaudit interface that was allowing instead of dontauditing; thanks to karl for pointing this out.

add aide, ccs, and ricci

This modifies the mls constraint for polmatch in the association class.
Specifically:

- polmatch need no longer make an exception for unlabeled_t
  since a flow will now always match SPD rules with no contexts (per
  the IPSec leak fix patch upstreamed a few weeks back), as
  opposed to needing polmatch access to unlabeled_t.

Signed-off-by: Venkat Yekkirala <vyekkirala@TrustedCS.com>

On Tue, 2006-11-07 at 16:51 -0500, James Antill wrote:
> Here is the policy changes needed for the context contains security
> checking in PAM and cron.

- Add a reload target to Modules.devel and change the load
  target to only insert modules that were changed.

fixes from gentoo strict testing:
- Allow semanage to read from /root on strict non-MLS for
  local policy modules.
- Gentoo init script fixes for udev.
- Allow udev to read kernel modules.inputmap.
- Dnsmasq fixes from testing.
- Allow kernel NFS server to getattr filesystems so df can work
  on clients.

add missing gentoo file contexts for initrc and lvm

Christopher J. PeBenito wrote:
> We could add another 'or' on the above constraint:
>
> or ( (t2 == mlsfilewrite_in_range) and (l1 dom l2) and (h1 domby h2) )
>
> I believe that would be the constraint you were looking for.  I don't
> like the name of that attribute, but I couldn't come up with a better
> one off the top of my head. :)
>

Attached is a patch which I've tested against selinux-policy-2.4.2-1
that implements this additional constraint.  The name is still a bit
forced, but it works.

-matt <mra at hp dot com>

patch from dan Tue, 24 Oct 2006 11:00:28 -0400

fix up corecommands perm sets, add seutil_manage_config_dirs()

add seutil_rw_config()

make load target more friendly and add reload target

enhanced setransd support from darrel goeddel

20061018 release