diff options
69 files changed, 93 insertions, 443 deletions
diff --git a/config/file_contexts.subs_dist b/config/file_contexts.subs_dist index ade78dc6d..96c276539 100644 --- a/config/file_contexts.subs_dist +++ b/config/file_contexts.subs_dist @@ -8,10 +8,14 @@ # It does not perform substitutions as done by sed(1), for # example, but aliasing. # +/bin /usr/bin +/lib /usr/lib +/lib32 /usr/lib +/lib64 /usr/lib +/libx32 /usr/libx32 +/sbin /usr/sbin /etc/init.d /etc/rc.d/init.d /lib/systemd /usr/lib/systemd -/lib32 /lib -/lib64 /lib /run/lock /var/lock /usr/lib32 /usr/lib /usr/lib64 /usr/lib diff --git a/policy/modules/admin/bootloader.fc b/policy/modules/admin/bootloader.fc index c43c428b2..d3925950b 100644 --- a/policy/modules/admin/bootloader.fc +++ b/policy/modules/admin/bootloader.fc @@ -8,10 +8,6 @@ /etc/yaboot\.conf.* -- gen_context(system_u:object_r:bootloader_etc_t,s0) /etc/grub.d(/.*)? -- gen_context(system_u:object_r:bootloader_etc_t,s0) -/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0) -/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) -/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) - /usr/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0) /usr/sbin/grub2?-bios-setup -- gen_context(system_u:object_r:bootloader_exec_t,s0) /usr/sbin/grub2?-install -- gen_context(system_u:object_r:bootloader_exec_t,s0) diff --git a/policy/modules/admin/bootloader.te b/policy/modules/admin/bootloader.te index 6be4f1632..fd9df5c8c 100644 --- a/policy/modules/admin/bootloader.te +++ b/policy/modules/admin/bootloader.te @@ -1,4 +1,4 @@ -policy_module(bootloader, 1.17.0) +policy_module(bootloader, 1.17.1) ######################################## # diff --git a/policy/modules/admin/consoletype.fc b/policy/modules/admin/consoletype.fc index 5d4fc3188..c5190eef9 100644 --- a/policy/modules/admin/consoletype.fc +++ b/policy/modules/admin/consoletype.fc @@ -1,4 +1 @@ - -/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0) - /usr/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0) diff --git a/policy/modules/admin/consoletype.te b/policy/modules/admin/consoletype.te index 9ed876028..4d295c2f0 100644 --- a/policy/modules/admin/consoletype.te +++ b/policy/modules/admin/consoletype.te @@ -1,4 +1,4 @@ -policy_module(consoletype, 1.11.0) +policy_module(consoletype, 1.11.1) ######################################## # diff --git a/policy/modules/admin/dmesg.fc b/policy/modules/admin/dmesg.fc index 0685b190d..e52fdfcf8 100644 --- a/policy/modules/admin/dmesg.fc +++ b/policy/modules/admin/dmesg.fc @@ -1,4 +1 @@ - -/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0) - /usr/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0) diff --git a/policy/modules/admin/dmesg.te b/policy/modules/admin/dmesg.te index 36eb120d8..4b36350ce 100644 --- a/policy/modules/admin/dmesg.te +++ b/policy/modules/admin/dmesg.te @@ -1,4 +1,4 @@ -policy_module(dmesg, 1.5.0) +policy_module(dmesg, 1.5.1) ######################################## # diff --git a/policy/modules/admin/netutils.fc b/policy/modules/admin/netutils.fc index 44cde12a2..5041c1053 100644 --- a/policy/modules/admin/netutils.fc +++ b/policy/modules/admin/netutils.fc @@ -1,9 +1,3 @@ -/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0) -/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0) -/bin/traceroute.* -- gen_context(system_u:object_r:traceroute_exec_t,s0) - -/sbin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0) - /usr/bin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0) /usr/bin/lft -- gen_context(system_u:object_r:traceroute_exec_t,s0) /usr/bin/nmap -- gen_context(system_u:object_r:traceroute_exec_t,s0) diff --git a/policy/modules/admin/netutils.te b/policy/modules/admin/netutils.te index 55255837d..9eabff3a6 100644 --- a/policy/modules/admin/netutils.te +++ b/policy/modules/admin/netutils.te @@ -1,4 +1,4 @@ -policy_module(netutils, 1.16.0) +policy_module(netutils, 1.16.1) ######################################## # diff --git a/policy/modules/admin/su.fc b/policy/modules/admin/su.fc index 3d89250a6..3375c9692 100644 --- a/policy/modules/admin/su.fc +++ b/policy/modules/admin/su.fc @@ -1,6 +1,3 @@ - -/bin/su -- gen_context(system_u:object_r:su_exec_t,s0) - /usr/(local/)?bin/ksu -- gen_context(system_u:object_r:su_exec_t,s0) /usr/bin/kdesu -- gen_context(system_u:object_r:su_exec_t,s0) /usr/bin/su -- gen_context(system_u:object_r:su_exec_t,s0) diff --git a/policy/modules/admin/su.te b/policy/modules/admin/su.te index afdd0221a..e5537697e 100644 --- a/policy/modules/admin/su.te +++ b/policy/modules/admin/su.te @@ -1,4 +1,4 @@ -policy_module(su, 1.14.0) +policy_module(su, 1.14.1) ######################################## # diff --git a/policy/modules/admin/usermanage.fc b/policy/modules/admin/usermanage.fc index 118439561..0e00005a7 100644 --- a/policy/modules/admin/usermanage.fc +++ b/policy/modules/admin/usermanage.fc @@ -1,7 +1,3 @@ -ifdef(`distro_gentoo',` -/bin/passwd -- gen_context(system_u:object_r:passwd_exec_t,s0) -') - ifdef(`distro_debian',` /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0) ') diff --git a/policy/modules/admin/usermanage.te b/policy/modules/admin/usermanage.te index e11f53a9b..ab0ba0af4 100644 --- a/policy/modules/admin/usermanage.te +++ b/policy/modules/admin/usermanage.te @@ -1,4 +1,4 @@ -policy_module(usermanage, 1.20.0) +policy_module(usermanage, 1.20.1) ######################################## # diff --git a/policy/modules/kernel/corecommands.fc b/policy/modules/kernel/corecommands.fc index f2a1991d1..d8c7389ca 100644 --- a/policy/modules/kernel/corecommands.fc +++ b/policy/modules/kernel/corecommands.fc @@ -1,21 +1,4 @@ # -# /bin -# -/bin -d gen_context(system_u:object_r:bin_t,s0) -/bin/.* gen_context(system_u:object_r:bin_t,s0) -/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/fish -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0) -/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/tcsh -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0) - -# # /dev # /dev/MAKEDEV -- gen_context(system_u:object_r:bin_t,s0) @@ -130,38 +113,6 @@ ifdef(`distro_debian',` ') # -# /lib -# - -/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0) -/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0) -/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0) -/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0) - -ifdef(`distro_gentoo',` -#/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) - -/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/rc/bin/.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/rc/sbin/.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/rc/sh/.* -- gen_context(system_u:object_r:bin_t,s0) -') - -# -# /sbin -# -/sbin -d gen_context(system_u:object_r:bin_t,s0) -/sbin/.* gen_context(system_u:object_r:bin_t,s0) -/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0) -/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0) -/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0) - -# # /opt # /opt/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) @@ -186,7 +137,7 @@ ifdef(`distro_gentoo',` # /usr # /usr/(.*/)?Bin(/.*)? gen_context(system_u:object_r:bin_t,s0) -/usr/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0) @@ -201,10 +152,10 @@ ifdef(`distro_gentoo',` /usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0) -/usr/lib(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) -/usr/lib(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib/at-spi2-core(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib/avahi/avahi-daemon-check-dns\.sh -- gen_context(system_u:object_r:bin_t,s0) @@ -294,18 +245,19 @@ ifdef(`distro_gentoo',` /usr/lib/nspluginwrapper/i386/linux/npviewer -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/lib/xulrunner-.*/plugin-container -- gen_context(system_u:object_r:bin_t,s0) -/usr/lib/xen/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) - /usr/libexec(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/libexec/git-core/git-shell -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/libexec/sesh -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0) +/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/linuxprinter/filters(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0) /usr/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0) /usr/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0) @@ -368,6 +320,16 @@ ifdef(`distro_gentoo', ` /usr/[^/]+-[^/]+-linux-gnu/binutils-bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/[^/]+-[^/]+-linux-gnu/[^/]+/gcc-bin/.*(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/[^/]+-[^/]+-linux-gnu/[^/]+/binutils-bin(/.*)? gen_context(system_u:object_r:bin_t,s0) + +#/usr/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) + +/usr/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rc/bin/.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rc/sbin/.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rc/sh/.* -- gen_context(system_u:object_r:bin_t,s0) ') ifdef(`distro_redhat', ` diff --git a/policy/modules/kernel/corecommands.te b/policy/modules/kernel/corecommands.te index f7ca08ae4..ca4e75f16 100644 --- a/policy/modules/kernel/corecommands.te +++ b/policy/modules/kernel/corecommands.te @@ -1,4 +1,4 @@ -policy_module(corecommands, 1.23.0) +policy_module(corecommands, 1.23.1) ######################################## # diff --git a/policy/modules/kernel/corenetwork.fc b/policy/modules/kernel/corenetwork.fc index a71787635..b8e9fb3a0 100644 --- a/policy/modules/kernel/corenetwork.fc +++ b/policy/modules/kernel/corenetwork.fc @@ -5,8 +5,5 @@ /dev/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) -/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0) -/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) - /usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0) /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) diff --git a/policy/modules/kernel/corenetwork.te.in b/policy/modules/kernel/corenetwork.te.in index 0196ddea9..efae68ae1 100644 --- a/policy/modules/kernel/corenetwork.te.in +++ b/policy/modules/kernel/corenetwork.te.in @@ -1,4 +1,4 @@ -policy_module(corenetwork, 1.23.0) +policy_module(corenetwork, 1.23.1) ######################################## # diff --git a/policy/modules/kernel/devices.fc b/policy/modules/kernel/devices.fc index 6a2e60143..19cd97247 100644 --- a/policy/modules/kernel/devices.fc +++ b/policy/modules/kernel/devices.fc @@ -194,11 +194,6 @@ ifdef(`distro_debian',` /etc/udev/devices -d gen_context(system_u:object_r:device_t,s0) # used by init scripts to initally populate udev /dev -/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0) -/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0) -/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0) -/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0) - /usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0) /usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0) /usr/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0) diff --git a/policy/modules/kernel/devices.te b/policy/modules/kernel/devices.te index 37dceb436..767da2453 100644 --- a/policy/modules/kernel/devices.te +++ b/policy/modules/kernel/devices.te @@ -1,4 +1,4 @@ -policy_module(devices, 1.20.0) +policy_module(devices, 1.20.1) ######################################## # diff --git a/policy/modules/kernel/files.fc b/policy/modules/kernel/files.fc index f506f56bb..39491e9d2 100644 --- a/policy/modules/kernel/files.fc +++ b/policy/modules/kernel/files.fc @@ -104,17 +104,6 @@ HOME_ROOT/lost\+found/.* <<none>> /initrd -d gen_context(system_u:object_r:root_t,s0) # -# /lib(64)? -# -/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0) - -ifdef(`distro_debian',` -# on Debian /lib/init/rw is a tmpfs used like /var/run but -# before /var is mounted -/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh) -') - -# # /lost+found # /lost\+found -d gen_context(system_u:object_r:lost_found_t,mls_systemhigh) @@ -185,11 +174,6 @@ ifdef(`distro_debian',` /srv/.* gen_context(system_u:object_r:var_t,s0) # -# /usr/lib(64)? -# -/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0) - -# # /tmp # /tmp -d gen_context(system_u:object_r:tmp_t,s0-mls_systemhigh) @@ -231,6 +215,12 @@ ifdef(`distro_debian',` /usr/tmp -d gen_context(system_u:object_r:tmp_t,s0-mls_systemhigh) /usr/tmp/.* <<none>> +ifdef(`distro_debian',` +# on Debian /lib/init/rw is a tmpfs used like /var/run but +# before /var is mounted +/usr/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh) +') + ifndef(`distro_redhat',` /usr/local/src(/.*)? gen_context(system_u:object_r:src_t,s0) diff --git a/policy/modules/kernel/files.te b/policy/modules/kernel/files.te index 3f4fdadbc..2d8fa2323 100644 --- a/policy/modules/kernel/files.te +++ b/policy/modules/kernel/files.te @@ -1,4 +1,4 @@ -policy_module(files, 1.23.0) +policy_module(files, 1.23.1) ######################################## # diff --git a/policy/modules/kernel/filesystem.fc b/policy/modules/kernel/filesystem.fc index 202978436..f46a28063 100644 --- a/policy/modules/kernel/filesystem.fc +++ b/policy/modules/kernel/filesystem.fc @@ -6,11 +6,6 @@ /dev/shm -d gen_context(system_u:object_r:tmpfs_t,s0) /dev/shm/.* <<none>> -/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0) -/lib/udev/devices/hugepages/.* <<none>> -/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0) -/lib/udev/devices/shm/.* <<none>> - /usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0) /usr/lib/udev/devices/hugepages/.* <<none>> /usr/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0) diff --git a/policy/modules/kernel/filesystem.te b/policy/modules/kernel/filesystem.te index 50a59ac3d..e6a6930d2 100644 --- a/policy/modules/kernel/filesystem.te +++ b/policy/modules/kernel/filesystem.te @@ -1,4 +1,4 @@ -policy_module(filesystem, 1.22.0) +policy_module(filesystem, 1.22.1) ######################################## # diff --git a/policy/modules/kernel/storage.fc b/policy/modules/kernel/storage.fc index cd1b43916..375b10bc1 100644 --- a/policy/modules/kernel/storage.fc +++ b/policy/modules/kernel/storage.fc @@ -83,8 +83,5 @@ ifdef(`distro_redhat', ` /dev/usb/rio500 -c gen_context(system_u:object_r:removable_device_t,s0) -/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh) -/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0) - /usr/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh) /usr/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0) diff --git a/policy/modules/kernel/storage.te b/policy/modules/kernel/storage.te index a049e3062..59329dc8d 100644 --- a/policy/modules/kernel/storage.te +++ b/policy/modules/kernel/storage.te @@ -1,4 +1,4 @@ -policy_module(storage, 1.14.0) +policy_module(storage, 1.14.1) ######################################## # diff --git a/policy/modules/kernel/terminal.fc b/policy/modules/kernel/terminal.fc index 256ad2962..6657b048b 100644 --- a/policy/modules/kernel/terminal.fc +++ b/policy/modules/kernel/terminal.fc @@ -41,5 +41,5 @@ ifdef(`distro_gentoo',` /dev/tts/[0-9]+ -c gen_context(system_u:object_r:tty_device_t,s0) # used by init scripts to initally populate udev /dev -/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0) +/usr/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0) ') diff --git a/policy/modules/kernel/terminal.te b/policy/modules/kernel/terminal.te index d9415fcdb..b77752b59 100644 --- a/policy/modules/kernel/terminal.te +++ b/policy/modules/kernel/terminal.te @@ -1,4 +1,4 @@ -policy_module(terminal, 1.16.0) +policy_module(terminal, 1.16.1) ######################################## # diff --git a/policy/modules/system/authlogin.fc b/policy/modules/system/authlogin.fc index fe15c998e..d68f6bb93 100644 --- a/policy/modules/system/authlogin.fc +++ b/policy/modules/system/authlogin.fc @@ -1,21 +1,9 @@ - -/bin/login -- gen_context(system_u:object_r:login_exec_t,s0) - /etc/\.pwd\.lock -- gen_context(system_u:object_r:shadow_t,s0) /etc/group\.lock -- gen_context(system_u:object_r:shadow_t,s0) /etc/gshadow.* -- gen_context(system_u:object_r:shadow_t,s0) /etc/passwd\.lock -- gen_context(system_u:object_r:shadow_t,s0) /etc/shadow.* -- gen_context(system_u:object_r:shadow_t,s0) -/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0) -/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0) -/sbin/unix_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) -/sbin/unix_update -- gen_context(system_u:object_r:updpwd_exec_t,s0) -/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0) -ifdef(`distro_suse', ` -/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) -') - /usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0) /usr/kerberos/sbin/login\.krb5 -- gen_context(system_u:object_r:login_exec_t,s0) @@ -29,6 +17,9 @@ ifdef(`distro_suse', ` /usr/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0) /usr/sbin/utempter -- gen_context(system_u:object_r:utempter_exec_t,s0) /usr/sbin/validate -- gen_context(system_u:object_r:chkpwd_exec_t,s0) +ifdef(`distro_suse', ` +/usr/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) +') /var/cache/coolkey(/.*)? gen_context(system_u:object_r:auth_cache_t,s0) diff --git a/policy/modules/system/authlogin.te b/policy/modules/system/authlogin.te index afc873dca..b42736891 100644 --- a/policy/modules/system/authlogin.te +++ b/policy/modules/system/authlogin.te @@ -1,4 +1,4 @@ -policy_module(authlogin, 2.10.0) +policy_module(authlogin, 2.10.1) ######################################## # diff --git a/policy/modules/system/clock.fc b/policy/modules/system/clock.fc index 2ec76e2be..61e6fe5d9 100644 --- a/policy/modules/system/clock.fc +++ b/policy/modules/system/clock.fc @@ -1,6 +1,3 @@ - /etc/adjtime -- gen_context(system_u:object_r:adjtime_t,s0) -/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0) - /usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0) diff --git a/policy/modules/system/clock.te b/policy/modules/system/clock.te index 6a54f6e48..288422b96 100644 --- a/policy/modules/system/clock.te +++ b/policy/modules/system/clock.te @@ -1,4 +1,4 @@ -policy_module(clock, 1.9.0) +policy_module(clock, 1.9.1) ######################################## # diff --git a/policy/modules/system/fstools.fc b/policy/modules/system/fstools.fc index 1f6f5f721..5249a7022 100644 --- a/policy/modules/system/fstools.fc +++ b/policy/modules/system/fstools.fc @@ -1,48 +1,3 @@ -/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/fsck.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkfs.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/parted -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/partprobe -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/partx -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0) - /usr/bin/partition_uuid -- gen_context(system_u:object_r:fsadm_exec_t,s0) /usr/bin/raw -- gen_context(system_u:object_r:fsadm_exec_t,s0) /usr/bin/scsi_unique_id -- gen_context(system_u:object_r:fsadm_exec_t,s0) diff --git a/policy/modules/system/fstools.te b/policy/modules/system/fstools.te index b2c7f9a12..16bd0676a 100644 --- a/policy/modules/system/fstools.te +++ b/policy/modules/system/fstools.te @@ -1,4 +1,4 @@ -policy_module(fstools, 1.20.0) +policy_module(fstools, 1.20.1) ######################################## # diff --git a/policy/modules/system/getty.fc b/policy/modules/system/getty.fc index 77dc8259f..07d2ada12 100644 --- a/policy/modules/system/getty.fc +++ b/policy/modules/system/getty.fc @@ -1,8 +1,5 @@ - /etc/mgetty(/.*)? gen_context(system_u:object_r:getty_etc_t,s0) -/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0) - /usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0) /var/log/mgetty\.log.* -- gen_context(system_u:object_r:getty_log_t,s0) diff --git a/policy/modules/system/getty.te b/policy/modules/system/getty.te index 3b849cbcc..af8989978 100644 --- a/policy/modules/system/getty.te +++ b/policy/modules/system/getty.te @@ -1,4 +1,4 @@ -policy_module(getty, 1.12.0) +policy_module(getty, 1.12.1) ######################################## # diff --git a/policy/modules/system/hostname.fc b/policy/modules/system/hostname.fc index 6d00f5c13..83ddeb573 100644 --- a/policy/modules/system/hostname.fc +++ b/policy/modules/system/hostname.fc @@ -1,4 +1 @@ - -/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0) - /usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0) diff --git a/policy/modules/system/hostname.te b/policy/modules/system/hostname.te index a25fdf239..f4036d8b4 100644 --- a/policy/modules/system/hostname.te +++ b/policy/modules/system/hostname.te @@ -1,4 +1,4 @@ -policy_module(hostname, 1.10.0) +policy_module(hostname, 1.10.1) ######################################## # diff --git a/policy/modules/system/hotplug.fc b/policy/modules/system/hotplug.fc index 9ef3e9fca..05e1d78cf 100644 --- a/policy/modules/system/hotplug.fc +++ b/policy/modules/system/hotplug.fc @@ -7,8 +7,5 @@ /run/usb(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0) /run/hotplug(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0) -/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0) -/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0) - /usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0) /usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0) diff --git a/policy/modules/system/hotplug.te b/policy/modules/system/hotplug.te index 11a5bceed..4572650bb 100644 --- a/policy/modules/system/hotplug.te +++ b/policy/modules/system/hotplug.te @@ -1,4 +1,4 @@ -policy_module(hotplug, 1.18.0) +policy_module(hotplug, 1.18.1) ######################################## # diff --git a/policy/modules/system/init.fc b/policy/modules/system/init.fc index a5c9bfa51..3e1365c72 100644 --- a/policy/modules/system/init.fc +++ b/policy/modules/system/init.fc @@ -20,26 +20,6 @@ ifdef(`distro_gentoo',` /dev/initctl -p gen_context(system_u:object_r:initctl_t,s0) # -# /lib -# -/lib/systemd/systemd -- gen_context(system_u:object_r:init_exec_t,s0) - -ifdef(`distro_gentoo', ` -/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0) -') - -# -# /sbin -# -/sbin/init(ng)? -- gen_context(system_u:object_r:init_exec_t,s0) -# because nowadays, /sbin/init is often a symlink to /sbin/upstart -/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0) - -ifdef(`distro_gentoo', ` -/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0) -') - -# # /usr # /usr/bin/sepg_ctl -- gen_context(system_u:object_r:initrc_exec_t,s0) @@ -50,6 +30,11 @@ ifdef(`distro_gentoo', ` /usr/lib/systemd/ntp-units\.d -d gen_context(system_u:object_r:systemd_unit_t,s0) /usr/lib/systemd/system(/.*)? gen_context(system_u:object_r:systemd_unit_t,s0) +ifdef(`distro_gentoo', ` +/usr/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0) +') + + /usr/libexec/dcc/start-.* -- gen_context(system_u:object_r:initrc_exec_t,s0) /usr/libexec/dcc/stop-.* -- gen_context(system_u:object_r:initrc_exec_t,s0) @@ -58,6 +43,10 @@ ifdef(`distro_gentoo', ` /usr/sbin/open_init_pty -- gen_context(system_u:object_r:initrc_exec_t,s0) /usr/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0) +ifdef(`distro_gentoo', ` +/usr/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0) +') + # # /var # diff --git a/policy/modules/system/init.te b/policy/modules/system/init.te index 3b7eea20b..c688c89b4 100644 --- a/policy/modules/system/init.te +++ b/policy/modules/system/init.te @@ -1,4 +1,4 @@ -policy_module(init, 2.2.0) +policy_module(init, 2.2.1) gen_require(` class passwd rootok; diff --git a/policy/modules/system/ipsec.fc b/policy/modules/system/ipsec.fc index d74131844..a1fb3087b 100644 --- a/policy/modules/system/ipsec.fc +++ b/policy/modules/system/ipsec.fc @@ -18,8 +18,6 @@ /etc/swanctl -d gen_context(system_u:object_r:ipsec_conf_file_t,s0) /etc/swanctl/swanctl.conf -- gen_context(system_u:object_r:ipsec_conf_file_t,s0) -/sbin/setkey -- gen_context(system_u:object_r:setkey_exec_t,s0) - /usr/lib/ipsec/_plutoload -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0) /usr/lib/ipsec/_plutorun -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0) /usr/lib/ipsec/eroute -- gen_context(system_u:object_r:ipsec_exec_t,s0) diff --git a/policy/modules/system/ipsec.te b/policy/modules/system/ipsec.te index 012d463cb..680181112 100644 --- a/policy/modules/system/ipsec.te +++ b/policy/modules/system/ipsec.te @@ -1,4 +1,4 @@ -policy_module(ipsec, 1.17.0) +policy_module(ipsec, 1.17.1) ######################################## # diff --git a/policy/modules/system/iptables.fc b/policy/modules/system/iptables.fc index 70790fc2d..01b404f7f 100644 --- a/policy/modules/system/iptables.fc +++ b/policy/modules/system/iptables.fc @@ -4,19 +4,6 @@ /etc/sysconfig/ip6?tables.* -- gen_context(system_u:object_r:iptables_conf_t,s0) /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0) -/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipchains.* -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipset -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) - /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0) /usr/lib/systemd/system/[^/]*ebtables.* -- gen_context(system_u:object_r:iptables_unit_t,s0) /usr/lib/systemd/system/[^/]*ip6tables.* -- gen_context(system_u:object_r:iptables_unit_t,s0) diff --git a/policy/modules/system/iptables.te b/policy/modules/system/iptables.te index 6ad95f436..e062e44cb 100644 --- a/policy/modules/system/iptables.te +++ b/policy/modules/system/iptables.te @@ -1,4 +1,4 @@ -policy_module(iptables, 1.18.0) +policy_module(iptables, 1.18.1) ######################################## # diff --git a/policy/modules/system/libraries.fc b/policy/modules/system/libraries.fc index 126e12020..1bac96596 100644 --- a/policy/modules/system/libraries.fc +++ b/policy/modules/system/libraries.fc @@ -33,16 +33,6 @@ ifdef(`distro_redhat',` /etc/ppp/plugins/rp-pppoe\.so -- gen_context(system_u:object_r:lib_t,s0) # -# /lib(64)? -# -/lib -d gen_context(system_u:object_r:lib_t,s0) -/lib -l gen_context(system_u:object_r:lib_t,s0) -/lib/.* gen_context(system_u:object_r:lib_t,s0) -/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0) - -/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0) - -# # /opt # /opt/.*\.so gen_context(system_u:object_r:lib_t,s0) @@ -91,13 +81,11 @@ ifdef(`distro_redhat',` ') # -# /sbin -# -/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0) - -# # /usr # +/usr/lib gen_context(system_u:object_r:lib_t,s0) +/usr/lib/.* gen_context(system_u:object_r:lib_t,s0) + /usr/(.*/)?/HelixPlayer/.+\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) /usr/(.*/)?/RealPlayer/.+\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) @@ -108,8 +96,8 @@ ifdef(`distro_redhat',` /usr/(.*/)?lib(/.*)? gen_context(system_u:object_r:lib_t,s0) /usr/(.*/)?lib64(/.*)? gen_context(system_u:object_r:lib_t,s0) -/usr/(.*/)?lib(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0) -/usr/(.*/)?lib64(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0) +/usr/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0) +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0) /usr/(.*/)?nvidia/.+\.so(\..*)? -- gen_context(system_u:object_r:textrel_shlib_t,s0) @@ -167,14 +155,6 @@ ifdef(`distro_debian',` /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) -ifdef(`distro_debian',` -/usr/lib -l gen_context(system_u:object_r:lib_t,s0) -') - -ifdef(`distro_gentoo',` -/usr/lib -l gen_context(system_u:object_r:lib_t,s0) -') - /usr/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0) ifdef(`distro_redhat',` diff --git a/policy/modules/system/libraries.te b/policy/modules/system/libraries.te index ef8780ca7..bf5a9b638 100644 --- a/policy/modules/system/libraries.te +++ b/policy/modules/system/libraries.te @@ -1,4 +1,4 @@ -policy_module(libraries, 2.14.0) +policy_module(libraries, 2.14.1) ######################################## # diff --git a/policy/modules/system/locallogin.fc b/policy/modules/system/locallogin.fc index 06b5de62c..755e304e8 100644 --- a/policy/modules/system/locallogin.fc +++ b/policy/modules/system/locallogin.fc @@ -1,6 +1,2 @@ - -/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0) -/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0) - /usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0) /usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0) diff --git a/policy/modules/system/locallogin.te b/policy/modules/system/locallogin.te index eb645f4f8..8748ca836 100644 --- a/policy/modules/system/locallogin.te +++ b/policy/modules/system/locallogin.te @@ -1,4 +1,4 @@ -policy_module(locallogin, 1.15.0) +policy_module(locallogin, 1.15.1) ######################################## # diff --git a/policy/modules/system/logging.fc b/policy/modules/system/logging.fc index c5b20f7c4..6258954a8 100644 --- a/policy/modules/system/logging.fc +++ b/policy/modules/system/logging.fc @@ -6,17 +6,6 @@ /etc/rc\.d/init\.d/auditd -- gen_context(system_u:object_r:auditd_initrc_exec_t,s0) /etc/rc\.d/init\.d/rsyslog -- gen_context(system_u:object_r:syslogd_initrc_exec_t,s0) -/sbin/audispd -- gen_context(system_u:object_r:audisp_exec_t,s0) -/sbin/audisp-remote -- gen_context(system_u:object_r:audisp_remote_exec_t,s0) -/sbin/auditctl -- gen_context(system_u:object_r:auditctl_exec_t,s0) -/sbin/auditd -- gen_context(system_u:object_r:auditd_exec_t,s0) -/sbin/klogd -- gen_context(system_u:object_r:klogd_exec_t,s0) -/sbin/minilogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/rklogd -- gen_context(system_u:object_r:klogd_exec_t,s0) -/sbin/rsyslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/syslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/syslog-ng -- gen_context(system_u:object_r:syslogd_exec_t,s0) - /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0) /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0) /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0) diff --git a/policy/modules/system/logging.te b/policy/modules/system/logging.te index 311d0a01b..9232f267f 100644 --- a/policy/modules/system/logging.te +++ b/policy/modules/system/logging.te @@ -1,4 +1,4 @@ -policy_module(logging, 1.25.0) +policy_module(logging, 1.25.1) ######################################## # diff --git a/policy/modules/system/lvm.fc b/policy/modules/system/lvm.fc index 48c2df133..8f4988e2f 100644 --- a/policy/modules/system/lvm.fc +++ b/policy/modules/system/lvm.fc @@ -1,16 +1,8 @@ - # LVM creates lock files in /var before /var is mounted # configure LVM to put lockfiles in /etc/lvm/lock instead # for this policy to work (unless you have no separate /var) # -# /bin -# -ifdef(`distro_gentoo',` -/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) -') - -# # /dev # /dev/.lvm(/.*)? gen_context(system_u:object_r:lvm_lock_t,s0) @@ -29,71 +21,12 @@ ifdef(`distro_gentoo',` /etc/lvmtab\.d(/.*)? gen_context(system_u:object_r:lvm_metadata_t,s0) # -# /lib -# -/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) -/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) -/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0) - -# -# /sbin -# -/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvm -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0) - -# # /usr # +ifdef(`distro_gentoo',` +/usr/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) +') + /usr/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) /usr/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) /usr/lib/systemd/system/blk-availability.* -- gen_context(system_u:object_r:lvm_unit_t,s0) diff --git a/policy/modules/system/lvm.te b/policy/modules/system/lvm.te index a179b1841..3dc2dcacc 100644 --- a/policy/modules/system/lvm.te +++ b/policy/modules/system/lvm.te @@ -1,4 +1,4 @@ -policy_module(lvm, 1.19.0) +policy_module(lvm, 1.19.1) ######################################## # diff --git a/policy/modules/system/modutils.fc b/policy/modules/system/modutils.fc index 410e4b732..b12547a5b 100644 --- a/policy/modules/system/modutils.fc +++ b/policy/modules/system/modutils.fc @@ -1,5 +1,3 @@ -/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0) - /etc/modules\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0) /etc/modprobe\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0) /etc/modprobe\.d(/.*)? gen_context(system_u:object_r:modules_conf_t,s0) @@ -10,22 +8,11 @@ ifdef(`distro_gentoo',` /etc/modprobe.devfs.* -- gen_context(system_u:object_r:modules_conf_t,s0) ') -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0) - -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0) - /run/tmpfiles\.d/kmod\.conf -- gen_context(system_u:object_r:kmod_var_run_t,s0) -/sbin/depmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/insmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/modprobe.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/modules-update -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/rmmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/update-modules -- gen_context(system_u:object_r:kmod_exec_t,s0) - /usr/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0) +/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0) /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0) /usr/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0) diff --git a/policy/modules/system/modutils.te b/policy/modules/system/modutils.te index a76339bba..901cdea0e 100644 --- a/policy/modules/system/modutils.te +++ b/policy/modules/system/modutils.te @@ -1,4 +1,4 @@ -policy_module(modutils, 1.17.0) +policy_module(modutils, 1.17.1) ######################################## # diff --git a/policy/modules/system/mount.fc b/policy/modules/system/mount.fc index 182d0fdb7..39ea6f5ca 100644 --- a/policy/modules/system/mount.fc +++ b/policy/modules/system/mount.fc @@ -1,11 +1,3 @@ -/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0) -/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0) -/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0) - -/sbin/mount\.zfs -- gen_context(system_u:object_r:mount_exec_t,s0) -/sbin/zfs -- gen_context(system_u:object_r:mount_exec_t,s0) -/sbin/zpool -- gen_context(system_u:object_r:mount_exec_t,s0) - /usr/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0) /usr/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0) /usr/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0) diff --git a/policy/modules/system/mount.te b/policy/modules/system/mount.te index 0d20a69ab..fc25ee03b 100644 --- a/policy/modules/system/mount.te +++ b/policy/modules/system/mount.te @@ -1,4 +1,4 @@ -policy_module(mount, 1.19.0) +policy_module(mount, 1.19.1) ######################################## # diff --git a/policy/modules/system/netlabel.fc b/policy/modules/system/netlabel.fc index 9348c8cd2..f44bf7a26 100644 --- a/policy/modules/system/netlabel.fc +++ b/policy/modules/system/netlabel.fc @@ -1,3 +1 @@ -/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0) - /usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0) diff --git a/policy/modules/system/netlabel.te b/policy/modules/system/netlabel.te index c0a73af23..bff50bd0a 100644 --- a/policy/modules/system/netlabel.te +++ b/policy/modules/system/netlabel.te @@ -1,4 +1,4 @@ -policy_module(netlabel, 1.5.0) +policy_module(netlabel, 1.5.1) ######################################## # diff --git a/policy/modules/system/selinuxutil.fc b/policy/modules/system/selinuxutil.fc index 1c5d83676..8159897e9 100644 --- a/policy/modules/system/selinuxutil.fc +++ b/policy/modules/system/selinuxutil.fc @@ -20,13 +20,6 @@ /root/\.default_contexts -- gen_context(system_u:object_r:default_context_t,s0) # -# /sbin -# -/sbin/load_policy -- gen_context(system_u:object_r:load_policy_exec_t,s0) -/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0) -/sbin/setfiles.* -- gen_context(system_u:object_r:setfiles_exec_t,s0) - -# # /usr # /usr/bin/checkpolicy -- gen_context(system_u:object_r:checkpolicy_exec_t,s0) diff --git a/policy/modules/system/selinuxutil.te b/policy/modules/system/selinuxutil.te index 111720661..ed153758c 100644 --- a/policy/modules/system/selinuxutil.te +++ b/policy/modules/system/selinuxutil.te @@ -1,4 +1,4 @@ -policy_module(selinuxutil, 1.22.0) +policy_module(selinuxutil, 1.22.1) gen_require(` bool secure_mode; diff --git a/policy/modules/system/setrans.fc b/policy/modules/system/setrans.fc index 2ed445d74..6e60bbe75 100644 --- a/policy/modules/system/setrans.fc +++ b/policy/modules/system/setrans.fc @@ -2,8 +2,6 @@ /run/setrans(/.*)? gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh) -/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0) - /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0) /usr/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0) diff --git a/policy/modules/system/setrans.te b/policy/modules/system/setrans.te index ffd287c24..c68f97e9b 100644 --- a/policy/modules/system/setrans.te +++ b/policy/modules/system/setrans.te @@ -1,4 +1,4 @@ -policy_module(setrans, 1.13.0) +policy_module(setrans, 1.13.1) gen_require(` class context contains; diff --git a/policy/modules/system/sysnetwork.fc b/policy/modules/system/sysnetwork.fc index 1847cc567..a295f4633 100644 --- a/policy/modules/system/sysnetwork.fc +++ b/policy/modules/system/sysnetwork.fc @@ -1,11 +1,5 @@ # -# /bin -# -/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/bin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0) - -# # /dev # ifdef(`distro_debian',` @@ -37,24 +31,6 @@ ifdef(`distro_redhat',` ') # -# /sbin -# -/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_configure -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_interface -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_internal_net -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/iw -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/iwconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/mii-tool -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/pump -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/tc -- gen_context(system_u:object_r:ifconfig_exec_t,s0) - -# # /usr # /usr/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) diff --git a/policy/modules/system/sysnetwork.te b/policy/modules/system/sysnetwork.te index eb011835f..fffa6ab77 100644 --- a/policy/modules/system/sysnetwork.te +++ b/policy/modules/system/sysnetwork.te @@ -1,4 +1,4 @@ -policy_module(sysnetwork, 1.20.0) +policy_module(sysnetwork, 1.20.1) ######################################## # diff --git a/policy/modules/system/systemd.fc b/policy/modules/system/systemd.fc index b6a865695..a3b3767c4 100644 --- a/policy/modules/system/systemd.fc +++ b/policy/modules/system/systemd.fc @@ -1,13 +1,3 @@ -/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0) -/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0) -/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0) -/bin/systemd-detect-virt -- gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0) -/bin/systemd-nspawn -- gen_context(system_u:object_r:systemd_nspawn_exec_t,s0) -/bin/systemd-run -- gen_context(system_u:object_r:systemd_run_exec_t,s0) -/bin/systemd-stdio-bridge -- gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0) -/bin/systemd-tmpfiles -- gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0) -/bin/systemd-tty-ask-password-agent -- gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0) - /usr/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0) /usr/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0) /usr/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0) diff --git a/policy/modules/system/systemd.te b/policy/modules/system/systemd.te index 17afc5064..48e9ee183 100644 --- a/policy/modules/system/systemd.te +++ b/policy/modules/system/systemd.te @@ -1,4 +1,4 @@ -policy_module(systemd, 1.3.0) +policy_module(systemd, 1.3.1) ######################################### # diff --git a/policy/modules/system/udev.fc b/policy/modules/system/udev.fc index 698d1ddfc..6801d63fd 100644 --- a/policy/modules/system/udev.fc +++ b/policy/modules/system/udev.fc @@ -9,26 +9,16 @@ /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0) /etc/udev/scripts/.+ -- gen_context(system_u:object_r:udev_helper_exec_t,s0) -/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0) ifdef(`distro_debian',` -/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) ') -/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0) - -ifdef(`distro_redhat',` -/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0) +ifdef(`distro_debian',` +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0) ') -/usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0) - /usr/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0) /usr/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) /usr/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0) @@ -36,6 +26,10 @@ ifdef(`distro_redhat',` /usr/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0) /usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0) +ifdef(`distro_redhat',` +/usr/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0) +') + /usr/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0) /usr/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0) @@ -44,7 +38,6 @@ ifdef(`distro_redhat',` /run/udev(/.*)? gen_context(system_u:object_r:udev_var_run_t,s0) ifdef(`distro_debian',` -/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0) /run/xen-hotplug -d gen_context(system_u:object_r:udev_var_run_t,s0) ') diff --git a/policy/modules/system/udev.te b/policy/modules/system/udev.te index 44f674f79..d42ac73da 100644 --- a/policy/modules/system/udev.te +++ b/policy/modules/system/udev.te @@ -1,4 +1,4 @@ -policy_module(udev, 1.21.0) +policy_module(udev, 1.21.1) ######################################## # |