selinux-policy/policy/modules/roles/auditadm.te


policy_module(auditadm, 1.0.0)

########################################
#
# Declarations
#

role auditadm_r;

userdom_unpriv_user_template(auditadm)

########################################
#
# Local policy
#

allow auditadm_t self:capability { dac_read_search dac_override };

corecmd_exec_shell(auditadm_t)

domain_kill_all_domains(auditadm_t)

logging_send_syslog_msg(auditadm_t)
logging_read_generic_logs(auditadm_t)
logging_manage_audit_log(auditadm_t)
logging_manage_audit_config(auditadm_t)
logging_run_auditctl(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })
logging_run_auditd(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })

seutil_run_runinit(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })
seutil_read_bin_policy(auditadm_t)

optional_policy(`
	consoletype_exec(auditadm_t)
')

optional_policy(`
	dmesg_exec(auditadm_t)
')

optional_policy(`
	secadm_role_change_template(auditadm)
')

optional_policy(`
	sysadm_role_change_template(auditadm)
	sysadm_dontaudit_read_home_content_files(auditadm_t)
')
trunk: Move user roles into individual modules. 2008-04-29 13:58:34 +00:00
			`policy_module(auditadm, 1.0.0)`

			`########################################`
			`#`
			`# Declarations`
			`#`

			`role auditadm_r;`

			`userdom_unpriv_user_template(auditadm)`

			`########################################`
			`#`
			`# Local policy`
			`#`

			`allow auditadm_t self:capability { dac_read_search dac_override };`

			`corecmd_exec_shell(auditadm_t)`

			`domain_kill_all_domains(auditadm_t)`

			`logging_send_syslog_msg(auditadm_t)`
			`logging_read_generic_logs(auditadm_t)`
			`logging_manage_audit_log(auditadm_t)`
			`logging_manage_audit_config(auditadm_t)`
			`logging_run_auditctl(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })`
			`logging_run_auditd(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })`

			`seutil_run_runinit(auditadm_t, auditadm_r, { auditadm_tty_device_t auditadm_devpts_t })`
			`seutil_read_bin_policy(auditadm_t)`

			optional_policy(`
			`consoletype_exec(auditadm_t)`
			`')`

			optional_policy(`
			`dmesg_exec(auditadm_t)`
			`')`

			optional_policy(`
			`secadm_role_change_template(auditadm)`
			`')`

			optional_policy(`
			`sysadm_role_change_template(auditadm)`
			`sysadm_dontaudit_read_home_content_files(auditadm_t)`
			`')`