- Fixes for consolekit and startx sessions
This commit is contained in:
parent
915a9f26cc
commit
28021c8d41
|
@ -266,6 +266,455 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/man8/httpd_selinux.8 ser
|
||||||
.EX
|
.EX
|
||||||
httpd_sys_script_rw_t
|
httpd_sys_script_rw_t
|
||||||
.EE
|
.EE
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ftpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/ftpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8 2007-09-07 05:00:11.000000000 -0400
|
||||||
|
@@ -0,0 +1,57 @@
|
||||||
|
+.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ftpd Selinux Policy documentation"
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+ftpd_selinux \- Политика Security Enhanced Linux для демона ftp
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux обеспечивает защиту сервера ftpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
+Политика управляет видом доступа демона к этим файлам. Если вы хотите организовать анонимный
|
||||||
|
+доступ к файлам, вы должны присвоить этим файлам и директориям контекст public_content_t.
|
||||||
|
+Таким образом, если вы создаете специальную директорию /var/ftp, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
+.TP
|
||||||
|
+chcon -R -t public_content_t /var/ftp
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите задать директорию, в которую вы собираетесь загружать файлы, то вы должны
|
||||||
|
+установить контекст ftpd_anon_rw_t. Таким образом, если вы создаете специальную директорию /var/ftp/incoming, то вам необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
+.TP
|
||||||
|
+chcon -t public_content_rw_t /var/ftp/incoming
|
||||||
|
+.TP
|
||||||
|
+Вы также должны включить переключатель allow_ftpd_anon_write.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P allow_ftpd_anon_write=1
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
+.TP
|
||||||
|
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
+.br
|
||||||
|
+/var/ftp(/.*)? system_u:object_r:public_content_t
|
||||||
|
+/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
|
||||||
|
+
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+Политика SELinux для демона ftp настроена исходя из принципа наименьших привелегий. Таким
|
||||||
|
+образом, по умолчанию политика SELinux не позволяет пользователям заходить на сервер и
|
||||||
|
+читать содержимое их домашних директорий.
|
||||||
|
+.br
|
||||||
|
+Если вы настраиваете данную машину как ftpd-сервер и хотите, чтобы пользователи могли получать
|
||||||
|
+доступ к своим домашним директориям, то вам необходимо установить переключатель ftp_home_dir.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P ftp_home_dir 1
|
||||||
|
+.TP
|
||||||
|
+ftpd может функционировать как самостоятельный демон, а также как часть домена xinetd. Если вы
|
||||||
|
+хотите, чтобы ftpd работал как демон, вы должны установить переключатель ftpd_is_daemon.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P ftpd_is_daemon 1
|
||||||
|
+.br
|
||||||
|
+service vsftpd restart
|
||||||
|
+.TP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), ftpd(8), chcon(1), setsebool(8)
|
||||||
|
+
|
||||||
|
+
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/httpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/httpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8 2007-09-26 04:12:15.000000000 -0400
|
||||||
|
@@ -0,0 +1,137 @@
|
||||||
|
+.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "httpd Selinux Policy documentation"
|
||||||
|
+.de EX
|
||||||
|
+.nf
|
||||||
|
+.ft CW
|
||||||
|
+..
|
||||||
|
+.de EE
|
||||||
|
+.ft R
|
||||||
|
+.fi
|
||||||
|
+..
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+httpd_selinux \- Политика Security Enhanced Linux для демона httpd
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux обеспечивает защиту сервера httpd при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
+Политика управляет видом доступа демона к этим файлам.
|
||||||
|
+Политика SELinux для демона httpd позволяет пользователям настроить web-службы максимально безопасным методом с высокой степенью гибкости.
|
||||||
|
+.PP
|
||||||
|
+Для httpd определены следующие контексты файлов:
|
||||||
|
+.EX
|
||||||
|
+httpd_sys_content_t
|
||||||
|
+.EE
|
||||||
|
+- Установите контекст httpd_sys_content_t для содержимого, которое должно быть доступно для всех скриптов httpd и для самого демона.
|
||||||
|
+.EX
|
||||||
|
+httpd_sys_script_exec_t
|
||||||
|
+.EE
|
||||||
|
+- Установите контекст httpd_sys_script_exec_t для cgi-скриптов, чтобы разрешить им доступ ко всем sys-типам.
|
||||||
|
+.EX
|
||||||
|
+httpd_sys_script_ro_t
|
||||||
|
+.EE
|
||||||
|
+- Установите на файлы контекст httpd_sys_script_ro_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
+.EX
|
||||||
|
+httpd_sys_script_rw_t
|
||||||
|
+.EE
|
||||||
|
+- Установите на файлы контекст httpd_sys_script_rw_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и писать данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
+.EX
|
||||||
|
+httpd_sys_script_ra_t
|
||||||
|
+.EE
|
||||||
|
+- Установите на файлы контекст httpd_sys_script_ra_t если вы хотите, чтобы скрипты httpd_sys_script_exec_t могли читать и добавлять данные, и при этом нужно запретить доступ другим не-sys скриптам.
|
||||||
|
+.EX
|
||||||
|
+httpd_unconfined_script_exec_t
|
||||||
|
+.EE
|
||||||
|
+- Установите на cgi-скрипты контекст httpd_unconfined_script_exec_t если вы хотите разрешить
|
||||||
|
+им исполняться без какой-либо защиты SELinux. Такой способ должен использоваться только для
|
||||||
|
+скриптов с очень комплексными требованиями, и только в случае, если все остальные варианты настройки не дали результата. Лучше использовать скрипты с контекстом httpd_unconfined_script_exec_t, чем выключать защиту SELinux для httpd.
|
||||||
|
+
|
||||||
|
+.SH ЗАМЕЧАНИЕ
|
||||||
|
+Вместе с некоторыми политиками, вы можете определить дополнительные контексты файлов, основанные
|
||||||
|
+на ролях, таких как user или staff. Может быть определен контекст httpd_user_script_exec_t, который будет иметь доступ только к "пользовательским" контекстам.
|
||||||
|
+
|
||||||
|
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для httpd вы должны выполнить команду:
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P allow_httpd_anon_write=1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+или
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P allow_httpd_sys_script_anon_write=1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+Политика SELinux настроена исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
+по умолчанию SELinux препятствует работе некоторых http-скриптов. Политика httpd весьма
|
||||||
|
+гибка, и существующие переключатели управляют политикой, позволяя httpd выполняться
|
||||||
|
+с наименее возможными правами доступа.
|
||||||
|
+.PP
|
||||||
|
+Если вы хотите, чтобы httpd мог исполнять cgi-скрипты, установите переключатель httpd_enable_cgi
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_enable_cgi 1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+По умолчанию демону httpd не разрешен доступ в домашние дерикториии пользователей. Если вы хотите разрешить доступ, вам необходимо установить переключатель httpd_enable_homedirs и изменить контекст
|
||||||
|
+тех файлов в домашних директориях пользователей, к которым должен быть разрешен доступ.
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_enable_homedirs 1
|
||||||
|
+chcon -R -t httpd_sys_content_t ~user/public_html
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+По умолчанию демон httpd не имеет доступ к управляющему терминалу. В большинстве случаев такое
|
||||||
|
+поведение является предпочтительным. Это связанно с тем, что злоумышленник может попытаться
|
||||||
|
+использовать доступ к терминалу для получения привилегий. Однако, в некоторых ситуациях демон
|
||||||
|
+httpd должен выводить запрос пароля для открытия файла сертификата и в таких случаях нужен доступ
|
||||||
|
+к терминалу. Для того, чтобы разрешить доступ к терминалу, установите переключатель httpd_tty_comm.
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_tty_comm 1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+httpd может быть настроен так, чтобы не разграничивать тип доступа к файлу на основании контекста.
|
||||||
|
+Иными словами, ко всем файлам, имеющим контекст httpd разрешен доступ на чтение/запись/исполнение.
|
||||||
|
+Установка этого переключателя в false, позволяет настроить политику безопасности таким образом,
|
||||||
|
+что одина служба httpd не конфликтует с другой.
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_unified 0
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+Имеется возможность настроить httpd таким образом, чтобы отключить встроенную поддержку
|
||||||
|
+скриптов (PHP). PHP и другие загружаемые модули работают в том же контексте, что и httpd.
|
||||||
|
+Таким образом, если используются только внешние cgi-скрипты, некоторые из правил политики
|
||||||
|
+разрешают httpd больший доступ к системе, чем необходимо.
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_builtin_scripting 0
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+По умолчанию httpd-скриптам запрещено устанавливать внешние сетевые подключения.
|
||||||
|
+Это не позволит хакеру, взломавшему ваш httpd-сервер, атаковать другие машины.
|
||||||
|
+Если вашим скриптам необходимо иметь возможность подключения, установите переключатель
|
||||||
|
+httpd_can_network_connect
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P httpd_can_network_connect 1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.PP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), httpd(8), chcon(1), setsebool(8)
|
||||||
|
+
|
||||||
|
+
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/kerberos_selinux.8 serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/kerberos_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8 2007-09-07 04:59:04.000000000 -0400
|
||||||
|
@@ -0,0 +1,30 @@
|
||||||
|
+.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "kerberos Selinux Policy documentation"
|
||||||
|
+.de EX
|
||||||
|
+.nf
|
||||||
|
+.ft CW
|
||||||
|
+..
|
||||||
|
+.de EE
|
||||||
|
+.ft R
|
||||||
|
+.fi
|
||||||
|
+..
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+kerberos_selinux \- Политика Security Enhanced Linux для Kerberos.
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию Kerberos запрещен, поскольку требуется функционирование демонов,
|
||||||
|
+которым предоставляется слишком обширный доступ к сети и некоторым чувствительным в плане безопасности файлам.
|
||||||
|
+
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+.PP
|
||||||
|
+Для того, чтобы система могла корректно работать в окружении Kerberos, вы должны установить переключатель allow_kerberos.
|
||||||
|
+.EX
|
||||||
|
+setsebool -P allow_kerberos 1
|
||||||
|
+.EE
|
||||||
|
+.PP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), kerberos(1), chcon(1), setsebool(8)
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/named_selinux.8 serefpolicy-3.0.8/man/ru/man8/named_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/named_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/named_selinux.8 2007-09-02 12:48:40.000000000 -0400
|
||||||
|
@@ -0,0 +1,31 @@
|
||||||
|
+.TH "named_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "named Selinux Policy documentation"
|
||||||
|
+.de EX
|
||||||
|
+.nf
|
||||||
|
+.ft CW
|
||||||
|
+..
|
||||||
|
+.de EE
|
||||||
|
+.ft R
|
||||||
|
+.fi
|
||||||
|
+..
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+named_selinux \- Политика Security Enhanced Linux для демона Internet Name server (named)
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux обеспечивает защиту сервера named при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
+по умолчанию политика SELinux не позволяет демону named осуществлять изменения файлов мастер-зоны.
|
||||||
|
+Если вам необходимо, чтобы named мог обновлять файлы мастер-зоны, вы должны установить переключатель named_write_master_zones boolean.
|
||||||
|
+.EX
|
||||||
|
+setsebool -P named_write_master_zones 1
|
||||||
|
+.EE
|
||||||
|
+.PP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), named(8), chcon(1), setsebool(8)
|
||||||
|
+
|
||||||
|
+
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/nfs_selinux.8 serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/nfs_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8 2007-08-30 08:33:39.000000000 -0400
|
||||||
|
@@ -0,0 +1,33 @@
|
||||||
|
+.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "nfs Selinux Policy documentation"
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+nfs_selinux \- Политика Security Enhanced Linux для NFS
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux защищает сервер nfs при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+Политика SELinux настраивается исходя из принципа наименьших привилегий. Таким образом,
|
||||||
|
+по умолчанию политика SELinux не позволяет предоставлять доступ к файлам по nfs. Если вы хотите
|
||||||
|
+разрешить доступ только на чтение к файлам этой машины по nfs, вы должны установить переключатель
|
||||||
|
+nfs_export_all_ro.
|
||||||
|
+
|
||||||
|
+.TP
|
||||||
|
+setsebool -P nfs_export_all_ro 1
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите разрешить доступ на чтение/запись, вы должны установить переключатель nfs_export_all_rw.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P nfs_export_all_rw 1
|
||||||
|
+
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите использовать удаленный NFS сервер для хранения домашних директорий этой машины,
|
||||||
|
+то вы должны установить переключатель use_nfs_home_dir boolean.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P use_nfs_home_dirs 1
|
||||||
|
+.TP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита
|
||||||
|
+system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), chcon(1), setsebool(8)
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/rsync_selinux.8 serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/rsync_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8 2007-09-07 04:59:25.000000000 -0400
|
||||||
|
@@ -0,0 +1,50 @@
|
||||||
|
+.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "rsync Selinux Policy documentation"
|
||||||
|
+.de EX
|
||||||
|
+.nf
|
||||||
|
+.ft CW
|
||||||
|
+..
|
||||||
|
+.de EE
|
||||||
|
+.ft R
|
||||||
|
+.fi
|
||||||
|
+..
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+rsync_selinux \- Политика Security Enhanced Linux для демона rsync
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux обеспечивает защиту сервера rsync при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
+Политика управляет видом доступа демона к этим файлам. Если вы хотите предоставить доступ к файлам
|
||||||
|
+при помощи демона rsync, вы должны присвоить этим файлам и директориям контекст
|
||||||
|
+public_content_t. Таким образом, если вы создаете специальную директорию /var/rsync, то вам
|
||||||
|
+необходимо установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
+.TP
|
||||||
|
+chcon -t public_content_t /var/rsync
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
+.EX
|
||||||
|
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
+/var/rsync(/.*)? system_u:object_r:public_content_t
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для rsync вы должны выполнить команду:
|
||||||
|
+
|
||||||
|
+.EX
|
||||||
|
+setsebool -P allow_rsync_anon_write=1
|
||||||
|
+.EE
|
||||||
|
+
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+.TP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), rsync(1), chcon(1), setsebool(8)
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/samba_selinux.8 serefpolicy-3.0.8/man/ru/man8/samba_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/samba_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/samba_selinux.8 2007-09-07 04:58:17.000000000 -0400
|
||||||
|
@@ -0,0 +1,60 @@
|
||||||
|
+.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "Samba Selinux Policy documentation"
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+samba_selinux \- Политика Security Enhanced Linux для Samba
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа.
|
||||||
|
+.SH КОНТЕКСТ ФАЙЛОВ
|
||||||
|
+SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла.
|
||||||
|
+Политика управляет видом доступа демона к этим файлам.
|
||||||
|
+Если вы хотите предоставить доступ к файлам вовне домашних директорий, этим файлам необходимо
|
||||||
|
+присвоить контекст samba_share_t.
|
||||||
|
+Таким образом, если вы создаете специальную директорию /var/eng, то вам необходимо
|
||||||
|
+установить контекст для этой директории при помощи утилиты chcon.
|
||||||
|
+.TP
|
||||||
|
+chcon -t samba_share_t /var/eng
|
||||||
|
+.TP
|
||||||
|
+
|
||||||
|
+Если вы хотите сделать эти изменения постоянными, иными словами, чтобы данный контекст сохранялся
|
||||||
|
+при обновлении контекстов, вы должны добавить записи в файл file_contexts.local.
|
||||||
|
+.TP
|
||||||
|
+/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
|
||||||
|
+.br
|
||||||
|
+/var/eng(/.*)? system_u:object_r:samba_share_t
|
||||||
|
+
|
||||||
|
+.SH СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
|
||||||
|
+Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный
|
||||||
|
+доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t.
|
||||||
|
+Данный контекст позволяет любому из выше перечисленных демонов читать содержимое.
|
||||||
|
+Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны
|
||||||
|
+установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить команду:
|
||||||
|
+
|
||||||
|
+setsebool -P allow_smbd_anon_write=1
|
||||||
|
+
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+.br
|
||||||
|
+Политика SELinux настраивается исходя из принципа наименьших привилегий.
|
||||||
|
+Таким образом, по умолчанию политика SELinux не позволяет предоставлять удаленный доступ
|
||||||
|
+к домашним директориям и не позволяет использовать удаленный сервер Samba для хранения
|
||||||
|
+домашних директорий.
|
||||||
|
+.TP
|
||||||
|
+Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним
|
||||||
|
+директориям, вы должны установить переключатель samba_enable_home_dirs.
|
||||||
|
+.br
|
||||||
|
+
|
||||||
|
+setsebool -P samba_enable_home_dirs 1
|
||||||
|
+.TP
|
||||||
|
+Если вы хотите для хранения домашних директорий пользователей этой машины использовать удаленный
|
||||||
|
+сервер Samba, вы должны установить переключатель use_samba_home_dirs.
|
||||||
|
+.br
|
||||||
|
+
|
||||||
|
+setsebool -P use_samba_home_dirs 1
|
||||||
|
+.TP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), samba(7), chcon(1), setsebool(8)
|
||||||
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ypbind_selinux.8 serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8
|
||||||
|
--- nsaserefpolicy/man/ru/man8/ypbind_selinux.8 1969-12-31 19:00:00.000000000 -0500
|
||||||
|
+++ serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8 2007-08-28 06:30:26.000000000 -0400
|
||||||
|
@@ -0,0 +1,19 @@
|
||||||
|
+.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh@redhat.com" "ypbind Selinux Policy documentation"
|
||||||
|
+.SH "НАЗВАНИЕ"
|
||||||
|
+ypbind_selinux \- Политика Security Enhanced Linux для NIS.
|
||||||
|
+.SH "ОПИСАНИЕ"
|
||||||
|
+
|
||||||
|
+Security-Enhanced Linux защищает систему при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию работа NIS запрещена. Это является следствием того, что демоны NIS требуют слишком обширного доступа к сети.
|
||||||
|
+.SH ПЕРЕКЛЮЧАТЕЛИ (BOOLEANS)
|
||||||
|
+.TP
|
||||||
|
+Для того, чтобы система могла работать в окружении NIS, вы должны установить переключатель allow_ypbind.
|
||||||
|
+.TP
|
||||||
|
+setsebool -P allow_ypbind 1
|
||||||
|
+.TP
|
||||||
|
+Для управления настройками SELinux существует графическая утилита system-config-selinux.
|
||||||
|
+.SH АВТОРЫ
|
||||||
|
+Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>.
|
||||||
|
+Перевод руководства - Андрей Маркелов <andrey@markelov.net>, 2007г.
|
||||||
|
+
|
||||||
|
+.SH "СМОТРИ ТАКЖЕ"
|
||||||
|
+selinux(8), ypbind(8), chcon(1), setsebool(8)
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/flask/access_vectors serefpolicy-3.0.8/policy/flask/access_vectors
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/flask/access_vectors serefpolicy-3.0.8/policy/flask/access_vectors
|
||||||
--- nsaserefpolicy/policy/flask/access_vectors 2007-08-22 07:14:04.000000000 -0400
|
--- nsaserefpolicy/policy/flask/access_vectors 2007-08-22 07:14:04.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/flask/access_vectors 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/flask/access_vectors 2007-10-03 11:10:24.000000000 -0400
|
||||||
|
@ -1227,7 +1676,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||||
## <param name="domain">
|
## <param name="domain">
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/usermanage.te serefpolicy-3.0.8/policy/modules/admin/usermanage.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/usermanage.te serefpolicy-3.0.8/policy/modules/admin/usermanage.te
|
||||||
--- nsaserefpolicy/policy/modules/admin/usermanage.te 2007-09-12 10:34:51.000000000 -0400
|
--- nsaserefpolicy/policy/modules/admin/usermanage.te 2007-09-12 10:34:51.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-09 15:40:44.000000000 -0400
|
||||||
@@ -92,6 +92,7 @@
|
@@ -92,6 +92,7 @@
|
||||||
dev_read_urand(chfn_t)
|
dev_read_urand(chfn_t)
|
||||||
|
|
||||||
|
@ -1236,7 +1685,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||||
auth_dontaudit_read_shadow(chfn_t)
|
auth_dontaudit_read_shadow(chfn_t)
|
||||||
|
|
||||||
# allow checking if a shell is executable
|
# allow checking if a shell is executable
|
||||||
@@ -297,6 +298,7 @@
|
@@ -297,9 +298,11 @@
|
||||||
term_use_all_user_ttys(passwd_t)
|
term_use_all_user_ttys(passwd_t)
|
||||||
term_use_all_user_ptys(passwd_t)
|
term_use_all_user_ptys(passwd_t)
|
||||||
|
|
||||||
|
@ -1244,7 +1693,11 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||||
auth_manage_shadow(passwd_t)
|
auth_manage_shadow(passwd_t)
|
||||||
auth_relabel_shadow(passwd_t)
|
auth_relabel_shadow(passwd_t)
|
||||||
auth_etc_filetrans_shadow(passwd_t)
|
auth_etc_filetrans_shadow(passwd_t)
|
||||||
@@ -520,6 +522,10 @@
|
+auth_use_nsswitch(passwd_t)
|
||||||
|
|
||||||
|
# allow checking if a shell is executable
|
||||||
|
corecmd_check_exec_shell(passwd_t)
|
||||||
|
@@ -520,6 +523,10 @@
|
||||||
mta_manage_spool(useradd_t)
|
mta_manage_spool(useradd_t)
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
|
@ -1255,7 +1708,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/userman
|
||||||
dpkg_use_fds(useradd_t)
|
dpkg_use_fds(useradd_t)
|
||||||
dpkg_rw_pipes(useradd_t)
|
dpkg_rw_pipes(useradd_t)
|
||||||
')
|
')
|
||||||
@@ -529,6 +535,12 @@
|
@@ -529,6 +536,12 @@
|
||||||
')
|
')
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
|
@ -3327,7 +3780,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/kernel
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.if serefpolicy-3.0.8/policy/modules/kernel/selinux.if
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.if serefpolicy-3.0.8/policy/modules/kernel/selinux.if
|
||||||
--- nsaserefpolicy/policy/modules/kernel/selinux.if 2007-07-03 07:05:38.000000000 -0400
|
--- nsaserefpolicy/policy/modules/kernel/selinux.if 2007-07-03 07:05:38.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-09 16:03:39.000000000 -0400
|
||||||
@@ -138,6 +138,7 @@
|
@@ -138,6 +138,7 @@
|
||||||
type security_t;
|
type security_t;
|
||||||
')
|
')
|
||||||
|
@ -3394,7 +3847,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinu
|
||||||
|
|
||||||
if(!secure_mode_policyload) {
|
if(!secure_mode_policyload) {
|
||||||
allow $1 security_t:security setbool;
|
allow $1 security_t:security setbool;
|
||||||
@@ -463,3 +495,42 @@
|
@@ -463,3 +495,23 @@
|
||||||
|
|
||||||
typeattribute $1 selinux_unconfined_type;
|
typeattribute $1 selinux_unconfined_type;
|
||||||
')
|
')
|
||||||
|
@ -3418,25 +3871,6 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinu
|
||||||
+ fs_type($1)
|
+ fs_type($1)
|
||||||
+ mls_trusted_object($1)
|
+ mls_trusted_object($1)
|
||||||
+')
|
+')
|
||||||
+
|
|
||||||
+########################################
|
|
||||||
+## <summary>
|
|
||||||
+## Generate a file context for a boolean type
|
|
||||||
+## </summary>
|
|
||||||
+## <param name="type">
|
|
||||||
+## <summary>
|
|
||||||
+## Type of the boolean
|
|
||||||
+## </summary>
|
|
||||||
+## </param>
|
|
||||||
+## <param name="domain">
|
|
||||||
+## <summary>
|
|
||||||
+## name of the boolean
|
|
||||||
+## </summary>
|
|
||||||
+## </param>
|
|
||||||
+#
|
|
||||||
+interface(`selinux_genbool_mapping',`
|
|
||||||
+ genfscon selinuxfs /booleans/$2 gen_context(system_u:object_r:$1,s0)
|
|
||||||
+')
|
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.te serefpolicy-3.0.8/policy/modules/kernel/selinux.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.te serefpolicy-3.0.8/policy/modules/kernel/selinux.te
|
||||||
--- nsaserefpolicy/policy/modules/kernel/selinux.te 2007-07-25 10:37:36.000000000 -0400
|
--- nsaserefpolicy/policy/modules/kernel/selinux.te 2007-07-25 10:37:36.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.te 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.te 2007-10-03 11:10:24.000000000 -0400
|
||||||
|
@ -4776,7 +5210,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/consolekit.te serefpolicy-3.0.8/policy/modules/services/consolekit.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/consolekit.te serefpolicy-3.0.8/policy/modules/services/consolekit.te
|
||||||
--- nsaserefpolicy/policy/modules/services/consolekit.te 2007-07-25 10:37:42.000000000 -0400
|
--- nsaserefpolicy/policy/modules/services/consolekit.te 2007-07-25 10:37:42.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-09 15:34:31.000000000 -0400
|
||||||
@@ -10,7 +10,6 @@
|
@@ -10,7 +10,6 @@
|
||||||
type consolekit_exec_t;
|
type consolekit_exec_t;
|
||||||
init_daemon_domain(consolekit_t, consolekit_exec_t)
|
init_daemon_domain(consolekit_t, consolekit_exec_t)
|
||||||
|
@ -4785,15 +5219,17 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||||
type consolekit_var_run_t;
|
type consolekit_var_run_t;
|
||||||
files_pid_file(consolekit_var_run_t)
|
files_pid_file(consolekit_var_run_t)
|
||||||
|
|
||||||
@@ -25,7 +24,6 @@
|
@@ -25,7 +24,8 @@
|
||||||
allow consolekit_t self:unix_stream_socket create_stream_socket_perms;
|
allow consolekit_t self:unix_stream_socket create_stream_socket_perms;
|
||||||
allow consolekit_t self:unix_dgram_socket create_socket_perms;
|
allow consolekit_t self:unix_dgram_socket create_socket_perms;
|
||||||
|
|
||||||
-# pid file
|
-# pid file
|
||||||
|
+auth_use_nsswitch(consolekit_t)
|
||||||
|
+
|
||||||
manage_files_pattern(consolekit_t,consolekit_var_run_t,consolekit_var_run_t)
|
manage_files_pattern(consolekit_t,consolekit_var_run_t,consolekit_var_run_t)
|
||||||
files_pid_filetrans(consolekit_t,consolekit_var_run_t, file)
|
files_pid_filetrans(consolekit_t,consolekit_var_run_t, file)
|
||||||
|
|
||||||
@@ -38,6 +36,7 @@
|
@@ -38,6 +38,7 @@
|
||||||
|
|
||||||
domain_read_all_domains_state(consolekit_t)
|
domain_read_all_domains_state(consolekit_t)
|
||||||
domain_use_interactive_fds(consolekit_t)
|
domain_use_interactive_fds(consolekit_t)
|
||||||
|
@ -4801,7 +5237,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||||
|
|
||||||
files_read_etc_files(consolekit_t)
|
files_read_etc_files(consolekit_t)
|
||||||
# needs to read /var/lib/dbus/machine-id
|
# needs to read /var/lib/dbus/machine-id
|
||||||
@@ -50,8 +49,15 @@
|
@@ -50,8 +51,15 @@
|
||||||
libs_use_ld_so(consolekit_t)
|
libs_use_ld_so(consolekit_t)
|
||||||
libs_use_shared_libs(consolekit_t)
|
libs_use_shared_libs(consolekit_t)
|
||||||
|
|
||||||
|
@ -4817,7 +5253,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
dbus_system_bus_client_template(consolekit, consolekit_t)
|
dbus_system_bus_client_template(consolekit, consolekit_t)
|
||||||
dbus_send_system_bus(consolekit_t)
|
dbus_send_system_bus(consolekit_t)
|
||||||
@@ -62,9 +68,16 @@
|
@@ -62,9 +70,18 @@
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
unconfined_dbus_chat(consolekit_t)
|
unconfined_dbus_chat(consolekit_t)
|
||||||
')
|
')
|
||||||
|
@ -4827,6 +5263,8 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/cons
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
xserver_read_all_users_xauth(consolekit_t)
|
xserver_read_all_users_xauth(consolekit_t)
|
||||||
xserver_stream_connect_xdm_xserver(consolekit_t)
|
xserver_stream_connect_xdm_xserver(consolekit_t)
|
||||||
|
+ # For homedirs without xauth labeling
|
||||||
|
+ userdom_read_generic_user_home_content_files(consolekit_t)
|
||||||
')
|
')
|
||||||
+
|
+
|
||||||
+optional_policy(`
|
+optional_policy(`
|
||||||
|
@ -7561,8 +7999,8 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||||
## <param name="domain">
|
## <param name="domain">
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.te serefpolicy-3.0.8/policy/modules/services/nis.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.te serefpolicy-3.0.8/policy/modules/services/nis.te
|
||||||
--- nsaserefpolicy/policy/modules/services/nis.te 2007-07-25 10:37:42.000000000 -0400
|
--- nsaserefpolicy/policy/modules/services/nis.te 2007-07-25 10:37:42.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-03 11:10:24.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-09 16:44:03.000000000 -0400
|
||||||
@@ -113,6 +113,14 @@
|
@@ -113,6 +113,18 @@
|
||||||
userdom_dontaudit_use_unpriv_user_fds(ypbind_t)
|
userdom_dontaudit_use_unpriv_user_fds(ypbind_t)
|
||||||
userdom_dontaudit_search_sysadm_home_dirs(ypbind_t)
|
userdom_dontaudit_search_sysadm_home_dirs(ypbind_t)
|
||||||
|
|
||||||
|
@ -7572,12 +8010,16 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||||
+ dbus_connect_system_bus(ypbind_t)
|
+ dbus_connect_system_bus(ypbind_t)
|
||||||
+ dbus_send_system_bus(ypbind_t)
|
+ dbus_send_system_bus(ypbind_t)
|
||||||
+ init_dbus_chat_script(ypbind_t)
|
+ init_dbus_chat_script(ypbind_t)
|
||||||
|
+
|
||||||
|
+ optional_policy(`
|
||||||
|
+ networkmanager_dbus_chat(ypbind_t)
|
||||||
|
+ ')
|
||||||
+')
|
+')
|
||||||
+
|
+
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
seutil_sigchld_newrole(ypbind_t)
|
seutil_sigchld_newrole(ypbind_t)
|
||||||
')
|
')
|
||||||
@@ -126,6 +134,7 @@
|
@@ -126,6 +138,7 @@
|
||||||
# yppasswdd local policy
|
# yppasswdd local policy
|
||||||
#
|
#
|
||||||
|
|
||||||
|
@ -7585,7 +8027,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||||
dontaudit yppasswdd_t self:capability sys_tty_config;
|
dontaudit yppasswdd_t self:capability sys_tty_config;
|
||||||
allow yppasswdd_t self:fifo_file rw_fifo_file_perms;
|
allow yppasswdd_t self:fifo_file rw_fifo_file_perms;
|
||||||
allow yppasswdd_t self:process { setfscreate signal_perms };
|
allow yppasswdd_t self:process { setfscreate signal_perms };
|
||||||
@@ -156,8 +165,8 @@
|
@@ -156,8 +169,8 @@
|
||||||
corenet_udp_sendrecv_all_ports(yppasswdd_t)
|
corenet_udp_sendrecv_all_ports(yppasswdd_t)
|
||||||
corenet_tcp_bind_all_nodes(yppasswdd_t)
|
corenet_tcp_bind_all_nodes(yppasswdd_t)
|
||||||
corenet_udp_bind_all_nodes(yppasswdd_t)
|
corenet_udp_bind_all_nodes(yppasswdd_t)
|
||||||
|
@ -7596,7 +8038,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||||
corenet_dontaudit_tcp_bind_all_reserved_ports(yppasswdd_t)
|
corenet_dontaudit_tcp_bind_all_reserved_ports(yppasswdd_t)
|
||||||
corenet_dontaudit_udp_bind_all_reserved_ports(yppasswdd_t)
|
corenet_dontaudit_udp_bind_all_reserved_ports(yppasswdd_t)
|
||||||
corenet_sendrecv_generic_server_packets(yppasswdd_t)
|
corenet_sendrecv_generic_server_packets(yppasswdd_t)
|
||||||
@@ -247,6 +256,8 @@
|
@@ -247,6 +260,8 @@
|
||||||
corenet_udp_bind_all_nodes(ypserv_t)
|
corenet_udp_bind_all_nodes(ypserv_t)
|
||||||
corenet_tcp_bind_reserved_port(ypserv_t)
|
corenet_tcp_bind_reserved_port(ypserv_t)
|
||||||
corenet_udp_bind_reserved_port(ypserv_t)
|
corenet_udp_bind_reserved_port(ypserv_t)
|
||||||
|
@ -7605,7 +8047,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.
|
||||||
corenet_dontaudit_tcp_bind_all_reserved_ports(ypserv_t)
|
corenet_dontaudit_tcp_bind_all_reserved_ports(ypserv_t)
|
||||||
corenet_dontaudit_udp_bind_all_reserved_ports(ypserv_t)
|
corenet_dontaudit_udp_bind_all_reserved_ports(ypserv_t)
|
||||||
corenet_sendrecv_generic_server_packets(ypserv_t)
|
corenet_sendrecv_generic_server_packets(ypserv_t)
|
||||||
@@ -315,6 +326,8 @@
|
@@ -315,6 +330,8 @@
|
||||||
corenet_udp_bind_all_nodes(ypxfr_t)
|
corenet_udp_bind_all_nodes(ypxfr_t)
|
||||||
corenet_tcp_bind_reserved_port(ypxfr_t)
|
corenet_tcp_bind_reserved_port(ypxfr_t)
|
||||||
corenet_udp_bind_reserved_port(ypxfr_t)
|
corenet_udp_bind_reserved_port(ypxfr_t)
|
||||||
|
@ -9065,7 +9507,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samb
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samba.te serefpolicy-3.0.8/policy/modules/services/samba.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samba.te serefpolicy-3.0.8/policy/modules/services/samba.te
|
||||||
--- nsaserefpolicy/policy/modules/services/samba.te 2007-07-25 10:37:42.000000000 -0400
|
--- nsaserefpolicy/policy/modules/services/samba.te 2007-07-25 10:37:42.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-09 11:56:37.000000000 -0400
|
||||||
@@ -137,6 +137,11 @@
|
@@ -137,6 +137,11 @@
|
||||||
type winbind_var_run_t;
|
type winbind_var_run_t;
|
||||||
files_pid_file(winbind_var_run_t)
|
files_pid_file(winbind_var_run_t)
|
||||||
|
@ -9982,7 +10424,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/squi
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.if serefpolicy-3.0.8/policy/modules/services/ssh.if
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.if serefpolicy-3.0.8/policy/modules/services/ssh.if
|
||||||
--- nsaserefpolicy/policy/modules/services/ssh.if 2007-07-25 10:37:42.000000000 -0400
|
--- nsaserefpolicy/policy/modules/services/ssh.if 2007-07-25 10:37:42.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-09 15:53:25.000000000 -0400
|
||||||
@@ -202,6 +202,7 @@
|
@@ -202,6 +202,7 @@
|
||||||
#
|
#
|
||||||
template(`ssh_per_role_template',`
|
template(`ssh_per_role_template',`
|
||||||
|
@ -9991,7 +10433,15 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.
|
||||||
type ssh_agent_exec_t, ssh_keysign_exec_t;
|
type ssh_agent_exec_t, ssh_keysign_exec_t;
|
||||||
')
|
')
|
||||||
|
|
||||||
@@ -520,6 +521,7 @@
|
@@ -512,6 +513,7 @@
|
||||||
|
|
||||||
|
tunable_policy(`use_nfs_home_dirs',`
|
||||||
|
fs_read_nfs_files($1_t)
|
||||||
|
+ fs_read_nfs_symlinks($1_t)
|
||||||
|
')
|
||||||
|
|
||||||
|
tunable_policy(`use_samba_home_dirs',`
|
||||||
|
@@ -520,6 +522,7 @@
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
kerberos_use($1_t)
|
kerberos_use($1_t)
|
||||||
|
@ -9999,7 +10449,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.
|
||||||
')
|
')
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
@@ -708,3 +710,42 @@
|
@@ -708,3 +711,42 @@
|
||||||
|
|
||||||
dontaudit $1 sshd_key_t:file { getattr read };
|
dontaudit $1 sshd_key_t:file { getattr read };
|
||||||
')
|
')
|
||||||
|
@ -10663,7 +11113,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||||
+
|
+
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xserver.te serefpolicy-3.0.8/policy/modules/services/xserver.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xserver.te serefpolicy-3.0.8/policy/modules/services/xserver.te
|
||||||
--- nsaserefpolicy/policy/modules/services/xserver.te 2007-08-22 07:14:07.000000000 -0400
|
--- nsaserefpolicy/policy/modules/services/xserver.te 2007-08-22 07:14:07.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-09 15:41:36.000000000 -0400
|
||||||
@@ -16,6 +16,13 @@
|
@@ -16,6 +16,13 @@
|
||||||
|
|
||||||
## <desc>
|
## <desc>
|
||||||
|
@ -10791,10 +11241,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||||
|
|
||||||
# Label pid and temporary files with derived types.
|
# Label pid and temporary files with derived types.
|
||||||
manage_files_pattern(xdm_xserver_t,xdm_tmp_t,xdm_tmp_t)
|
manage_files_pattern(xdm_xserver_t,xdm_tmp_t,xdm_tmp_t)
|
||||||
@@ -425,6 +447,10 @@
|
@@ -425,6 +447,14 @@
|
||||||
')
|
')
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
|
+ locallogin_use_fds(xdm_xserver_t)
|
||||||
|
+')
|
||||||
|
+
|
||||||
|
+optional_policy(`
|
||||||
+ mono_rw_shm(xdm_xserver_t)
|
+ mono_rw_shm(xdm_xserver_t)
|
||||||
+')
|
+')
|
||||||
+
|
+
|
||||||
|
@ -10802,7 +11256,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||||
resmgr_stream_connect(xdm_t)
|
resmgr_stream_connect(xdm_t)
|
||||||
')
|
')
|
||||||
|
|
||||||
@@ -434,47 +460,20 @@
|
@@ -434,47 +464,24 @@
|
||||||
')
|
')
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
|
@ -10818,13 +11272,13 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||||
+ unconfined_rw_shm(xdm_xserver_t)
|
+ unconfined_rw_shm(xdm_xserver_t)
|
||||||
+ unconfined_execmem_rw_shm(xdm_xserver_t)
|
+ unconfined_execmem_rw_shm(xdm_xserver_t)
|
||||||
+ unconfined_rw_tmpfs_files(xdm_xserver_t)
|
+ unconfined_rw_tmpfs_files(xdm_xserver_t)
|
||||||
+')
|
|
||||||
|
|
||||||
- ifdef(`distro_rhel4',`
|
- ifdef(`distro_rhel4',`
|
||||||
- allow xdm_xserver_t self:process { execheap execmem };
|
- allow xdm_xserver_t self:process { execheap execmem };
|
||||||
- ')
|
- ')
|
||||||
+tunable_policy(`allow_xserver_execmem', `
|
+ # xserver signals unconfined user on startx
|
||||||
+ allow xdm_xserver_t self:process { execheap execmem };
|
+ unconfined_signal(xdm_xserver_t)
|
||||||
|
+ unconfined_getpgid(xdm_xserver_t)
|
||||||
')
|
')
|
||||||
|
|
||||||
-ifdef(`TODO',`
|
-ifdef(`TODO',`
|
||||||
|
@ -10848,6 +11302,10 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xser
|
||||||
-allow xdm_t polymember:lnk_file { create unlink };
|
-allow xdm_t polymember:lnk_file { create unlink };
|
||||||
-# xdm needs access for copying .Xauthority into new home
|
-# xdm needs access for copying .Xauthority into new home
|
||||||
-allow xdm_t polymember:file { create getattr write };
|
-allow xdm_t polymember:file { create getattr write };
|
||||||
|
+tunable_policy(`allow_xserver_execmem', `
|
||||||
|
+ allow xdm_xserver_t self:process { execheap execmem };
|
||||||
|
+')
|
||||||
|
+
|
||||||
+ifdef(`distro_rhel4',`
|
+ifdef(`distro_rhel4',`
|
||||||
+ allow xdm_xserver_t self:process { execheap execmem };
|
+ allow xdm_xserver_t self:process { execheap execmem };
|
||||||
')
|
')
|
||||||
|
@ -11289,7 +11747,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
+
|
+
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlogin.te serefpolicy-3.0.8/policy/modules/system/authlogin.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlogin.te serefpolicy-3.0.8/policy/modules/system/authlogin.te
|
||||||
--- nsaserefpolicy/policy/modules/system/authlogin.te 2007-08-22 07:14:12.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/authlogin.te 2007-08-22 07:14:12.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-09 15:40:02.000000000 -0400
|
||||||
@@ -9,6 +9,13 @@
|
@@ -9,6 +9,13 @@
|
||||||
attribute can_read_shadow_passwords;
|
attribute can_read_shadow_passwords;
|
||||||
attribute can_write_shadow_passwords;
|
attribute can_write_shadow_passwords;
|
||||||
|
@ -11325,7 +11783,22 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
########################################
|
########################################
|
||||||
#
|
#
|
||||||
# PAM local policy
|
# PAM local policy
|
||||||
@@ -149,6 +163,8 @@
|
@@ -94,10 +108,14 @@
|
||||||
|
allow pam_t pam_tmp_t:file manage_file_perms;
|
||||||
|
files_tmp_filetrans(pam_t, pam_tmp_t, { file dir })
|
||||||
|
|
||||||
|
+auth_use_nsswitch(pam_t)
|
||||||
|
+
|
||||||
|
kernel_read_system_state(pam_t)
|
||||||
|
|
||||||
|
fs_search_auto_mountpoints(pam_t)
|
||||||
|
|
||||||
|
+miscfiles_read_localization(pam_t)
|
||||||
|
+
|
||||||
|
term_use_all_user_ttys(pam_t)
|
||||||
|
term_use_all_user_ptys(pam_t)
|
||||||
|
|
||||||
|
@@ -149,6 +167,8 @@
|
||||||
dev_setattr_apm_bios_dev(pam_console_t)
|
dev_setattr_apm_bios_dev(pam_console_t)
|
||||||
dev_getattr_dri_dev(pam_console_t)
|
dev_getattr_dri_dev(pam_console_t)
|
||||||
dev_setattr_dri_dev(pam_console_t)
|
dev_setattr_dri_dev(pam_console_t)
|
||||||
|
@ -11334,7 +11807,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
dev_getattr_framebuffer_dev(pam_console_t)
|
dev_getattr_framebuffer_dev(pam_console_t)
|
||||||
dev_setattr_framebuffer_dev(pam_console_t)
|
dev_setattr_framebuffer_dev(pam_console_t)
|
||||||
dev_getattr_generic_usb_dev(pam_console_t)
|
dev_getattr_generic_usb_dev(pam_console_t)
|
||||||
@@ -159,6 +175,8 @@
|
@@ -159,6 +179,8 @@
|
||||||
dev_setattr_mouse_dev(pam_console_t)
|
dev_setattr_mouse_dev(pam_console_t)
|
||||||
dev_getattr_power_mgmt_dev(pam_console_t)
|
dev_getattr_power_mgmt_dev(pam_console_t)
|
||||||
dev_setattr_power_mgmt_dev(pam_console_t)
|
dev_setattr_power_mgmt_dev(pam_console_t)
|
||||||
|
@ -11343,7 +11816,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
dev_getattr_scanner_dev(pam_console_t)
|
dev_getattr_scanner_dev(pam_console_t)
|
||||||
dev_setattr_scanner_dev(pam_console_t)
|
dev_setattr_scanner_dev(pam_console_t)
|
||||||
dev_getattr_sound_dev(pam_console_t)
|
dev_getattr_sound_dev(pam_console_t)
|
||||||
@@ -200,6 +218,7 @@
|
@@ -200,6 +222,7 @@
|
||||||
|
|
||||||
fs_list_auto_mountpoints(pam_console_t)
|
fs_list_auto_mountpoints(pam_console_t)
|
||||||
fs_list_noxattr_fs(pam_console_t)
|
fs_list_noxattr_fs(pam_console_t)
|
||||||
|
@ -11351,7 +11824,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
|
|
||||||
init_use_fds(pam_console_t)
|
init_use_fds(pam_console_t)
|
||||||
init_use_script_ptys(pam_console_t)
|
init_use_script_ptys(pam_console_t)
|
||||||
@@ -236,7 +255,7 @@
|
@@ -236,7 +259,7 @@
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
xserver_read_xdm_pid(pam_console_t)
|
xserver_read_xdm_pid(pam_console_t)
|
||||||
|
@ -11360,7 +11833,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlo
|
||||||
')
|
')
|
||||||
|
|
||||||
########################################
|
########################################
|
||||||
@@ -302,3 +321,28 @@
|
@@ -302,3 +325,28 @@
|
||||||
xserver_use_xdm_fds(utempter_t)
|
xserver_use_xdm_fds(utempter_t)
|
||||||
xserver_rw_xdm_pipes(utempter_t)
|
xserver_rw_xdm_pipes(utempter_t)
|
||||||
')
|
')
|
||||||
|
@ -11570,7 +12043,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/hostna
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/init.if serefpolicy-3.0.8/policy/modules/system/init.if
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/init.if serefpolicy-3.0.8/policy/modules/system/init.if
|
||||||
--- nsaserefpolicy/policy/modules/system/init.if 2007-08-22 07:14:12.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/init.if 2007-08-22 07:14:12.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-09 16:04:58.000000000 -0400
|
||||||
@@ -211,6 +211,21 @@
|
@@ -211,6 +211,21 @@
|
||||||
kernel_dontaudit_use_fds($1)
|
kernel_dontaudit_use_fds($1)
|
||||||
')
|
')
|
||||||
|
@ -13261,7 +13734,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/mount.
|
||||||
+
|
+
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.te serefpolicy-3.0.8/policy/modules/system/raid.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.te serefpolicy-3.0.8/policy/modules/system/raid.te
|
||||||
--- nsaserefpolicy/policy/modules/system/raid.te 2007-09-12 10:34:51.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/raid.te 2007-09-12 10:34:51.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-09 16:01:10.000000000 -0400
|
||||||
@@ -19,7 +19,7 @@
|
@@ -19,7 +19,7 @@
|
||||||
# Local policy
|
# Local policy
|
||||||
#
|
#
|
||||||
|
@ -13271,6 +13744,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.t
|
||||||
dontaudit mdadm_t self:capability sys_tty_config;
|
dontaudit mdadm_t self:capability sys_tty_config;
|
||||||
allow mdadm_t self:process { sigchld sigkill sigstop signull signal };
|
allow mdadm_t self:process { sigchld sigkill sigstop signull signal };
|
||||||
allow mdadm_t self:fifo_file rw_fifo_file_perms;
|
allow mdadm_t self:fifo_file rw_fifo_file_perms;
|
||||||
|
@@ -39,6 +39,7 @@
|
||||||
|
dev_dontaudit_getattr_generic_files(mdadm_t)
|
||||||
|
dev_dontaudit_getattr_generic_chr_files(mdadm_t)
|
||||||
|
dev_dontaudit_getattr_generic_blk_files(mdadm_t)
|
||||||
|
+dev_read_realtime_clock(mdadm_t)
|
||||||
|
|
||||||
|
fs_search_auto_mountpoints(mdadm_t)
|
||||||
|
fs_dontaudit_list_tmpfs(mdadm_t)
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.fc serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.fc serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc
|
||||||
--- nsaserefpolicy/policy/modules/system/selinuxutil.fc 2007-05-30 11:47:29.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/selinuxutil.fc 2007-05-30 11:47:29.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc 2007-10-04 10:32:45.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc 2007-10-04 10:32:45.000000000 -0400
|
||||||
|
@ -13566,7 +14047,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.te serefpolicy-3.0.8/policy/modules/system/selinuxutil.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.te serefpolicy-3.0.8/policy/modules/system/selinuxutil.te
|
||||||
--- nsaserefpolicy/policy/modules/system/selinuxutil.te 2007-09-12 10:34:51.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/selinuxutil.te 2007-09-12 10:34:51.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-07 07:59:32.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-09 15:59:34.000000000 -0400
|
||||||
@@ -76,7 +76,6 @@
|
@@ -76,7 +76,6 @@
|
||||||
type restorecond_exec_t;
|
type restorecond_exec_t;
|
||||||
init_daemon_domain(restorecond_t,restorecond_exec_t)
|
init_daemon_domain(restorecond_t,restorecond_exec_t)
|
||||||
|
@ -13696,7 +14177,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
auth_dontaudit_read_shadow(run_init_t)
|
auth_dontaudit_read_shadow(run_init_t)
|
||||||
|
|
||||||
corecmd_exec_bin(run_init_t)
|
corecmd_exec_bin(run_init_t)
|
||||||
@@ -423,77 +426,49 @@
|
@@ -423,77 +426,52 @@
|
||||||
nscd_socket_use(run_init_t)
|
nscd_socket_use(run_init_t)
|
||||||
')
|
')
|
||||||
|
|
||||||
|
@ -13708,11 +14189,6 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
#
|
#
|
||||||
+seutil_semanage_policy(setsebool_t)
|
+seutil_semanage_policy(setsebool_t)
|
||||||
+selinux_set_boolean(setsebool_t)
|
+selinux_set_boolean(setsebool_t)
|
||||||
+# Bug in semanage
|
|
||||||
+seutil_domtrans_setfiles(setsebool_t)
|
|
||||||
+seutil_manage_file_contexts(setsebool_t)
|
|
||||||
+seutil_manage_default_contexts(setsebool_t)
|
|
||||||
+seutil_manage_selinux_config(setsebool_t)
|
|
||||||
|
|
||||||
-allow semanage_t self:capability { dac_override audit_write };
|
-allow semanage_t self:capability { dac_override audit_write };
|
||||||
-allow semanage_t self:unix_stream_socket create_stream_socket_perms;
|
-allow semanage_t self:unix_stream_socket create_stream_socket_perms;
|
||||||
|
@ -13731,9 +14207,15 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
-corecmd_exec_bin(semanage_t)
|
-corecmd_exec_bin(semanage_t)
|
||||||
-
|
-
|
||||||
-dev_read_urand(semanage_t)
|
-dev_read_urand(semanage_t)
|
||||||
-
|
+init_dontaudit_use_fds(setsebool_t)
|
||||||
|
|
||||||
-domain_use_interactive_fds(semanage_t)
|
-domain_use_interactive_fds(semanage_t)
|
||||||
-
|
+# Bug in semanage
|
||||||
|
+seutil_domtrans_setfiles(setsebool_t)
|
||||||
|
+seutil_manage_file_contexts(setsebool_t)
|
||||||
|
+seutil_manage_default_contexts(setsebool_t)
|
||||||
|
+seutil_manage_selinux_config(setsebool_t)
|
||||||
|
|
||||||
-files_read_etc_files(semanage_t)
|
-files_read_etc_files(semanage_t)
|
||||||
-files_read_etc_runtime_files(semanage_t)
|
-files_read_etc_runtime_files(semanage_t)
|
||||||
-files_read_usr_files(semanage_t)
|
-files_read_usr_files(semanage_t)
|
||||||
|
@ -13799,7 +14281,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
# cjp: need a more general way to handle this:
|
# cjp: need a more general way to handle this:
|
||||||
ifdef(`enable_mls',`
|
ifdef(`enable_mls',`
|
||||||
# read secadm tmp files
|
# read secadm tmp files
|
||||||
@@ -521,6 +496,8 @@
|
@@ -521,6 +499,8 @@
|
||||||
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:file r_file_perms;
|
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:file r_file_perms;
|
||||||
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:lnk_file r_file_perms;
|
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:lnk_file r_file_perms;
|
||||||
|
|
||||||
|
@ -13808,7 +14290,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
kernel_read_system_state(setfiles_t)
|
kernel_read_system_state(setfiles_t)
|
||||||
kernel_relabelfrom_unlabeled_dirs(setfiles_t)
|
kernel_relabelfrom_unlabeled_dirs(setfiles_t)
|
||||||
kernel_relabelfrom_unlabeled_files(setfiles_t)
|
kernel_relabelfrom_unlabeled_files(setfiles_t)
|
||||||
@@ -537,6 +514,7 @@
|
@@ -537,6 +517,7 @@
|
||||||
|
|
||||||
fs_getattr_xattr_fs(setfiles_t)
|
fs_getattr_xattr_fs(setfiles_t)
|
||||||
fs_list_all(setfiles_t)
|
fs_list_all(setfiles_t)
|
||||||
|
@ -13816,7 +14298,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinu
|
||||||
fs_search_auto_mountpoints(setfiles_t)
|
fs_search_auto_mountpoints(setfiles_t)
|
||||||
fs_relabelfrom_noxattr_fs(setfiles_t)
|
fs_relabelfrom_noxattr_fs(setfiles_t)
|
||||||
|
|
||||||
@@ -590,8 +568,16 @@
|
@@ -590,8 +571,16 @@
|
||||||
fs_relabel_tmpfs_chr_file(setfiles_t)
|
fs_relabel_tmpfs_chr_file(setfiles_t)
|
||||||
')
|
')
|
||||||
|
|
||||||
|
@ -13966,8 +14448,16 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/sysnet
|
||||||
+')
|
+')
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/udev.te serefpolicy-3.0.8/policy/modules/system/udev.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/udev.te serefpolicy-3.0.8/policy/modules/system/udev.te
|
||||||
--- nsaserefpolicy/policy/modules/system/udev.te 2007-09-12 10:34:51.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/udev.te 2007-09-12 10:34:51.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-08 11:25:00.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-09 16:07:36.000000000 -0400
|
||||||
@@ -184,6 +184,12 @@
|
@@ -132,6 +132,7 @@
|
||||||
|
|
||||||
|
init_read_utmp(udev_t)
|
||||||
|
init_dontaudit_write_utmp(udev_t)
|
||||||
|
+init_getattr_initctl(udev_t)
|
||||||
|
|
||||||
|
libs_use_ld_so(udev_t)
|
||||||
|
libs_use_shared_libs(udev_t)
|
||||||
|
@@ -184,6 +185,12 @@
|
||||||
')
|
')
|
||||||
|
|
||||||
optional_policy(`
|
optional_policy(`
|
||||||
|
@ -13991,7 +14481,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||||
+/usr/bin/sbcl -- gen_context(system_u:object_r:unconfined_execmem_exec_t,s0)
|
+/usr/bin/sbcl -- gen_context(system_u:object_r:unconfined_execmem_exec_t,s0)
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.if serefpolicy-3.0.8/policy/modules/system/unconfined.if
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.if serefpolicy-3.0.8/policy/modules/system/unconfined.if
|
||||||
--- nsaserefpolicy/policy/modules/system/unconfined.if 2007-06-15 14:54:34.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/unconfined.if 2007-06-15 14:54:34.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 10:33:22.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 15:38:02.000000000 -0400
|
||||||
@@ -12,14 +12,13 @@
|
@@ -12,14 +12,13 @@
|
||||||
#
|
#
|
||||||
interface(`unconfined_domain_noaudit',`
|
interface(`unconfined_domain_noaudit',`
|
||||||
|
@ -14073,7 +14563,7 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||||
read_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
read_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
||||||
read_lnk_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
read_lnk_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
|
||||||
')
|
')
|
||||||
@@ -601,3 +605,179 @@
|
@@ -601,3 +605,198 @@
|
||||||
|
|
||||||
allow $1 unconfined_tmp_t:file { getattr write append };
|
allow $1 unconfined_tmp_t:file { getattr write append };
|
||||||
')
|
')
|
||||||
|
@ -14253,6 +14743,25 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconf
|
||||||
+ rw_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
+ rw_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
||||||
+ read_lnk_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
+ read_lnk_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
|
||||||
+')
|
+')
|
||||||
|
+
|
||||||
|
+########################################
|
||||||
|
+## <summary>
|
||||||
|
+## Get the process group of unconfined.
|
||||||
|
+## </summary>
|
||||||
|
+## <param name="domain">
|
||||||
|
+## <summary>
|
||||||
|
+## Domain allowed access.
|
||||||
|
+## </summary>
|
||||||
|
+## </param>
|
||||||
|
+#
|
||||||
|
+interface(`unconfined_getpgid',`
|
||||||
|
+ gen_require(`
|
||||||
|
+ type unconfined_t;
|
||||||
|
+ ')
|
||||||
|
+
|
||||||
|
+ allow $1 unconfined_t:process getpgid;
|
||||||
|
+')
|
||||||
|
+
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.te serefpolicy-3.0.8/policy/modules/system/unconfined.te
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.te serefpolicy-3.0.8/policy/modules/system/unconfined.te
|
||||||
--- nsaserefpolicy/policy/modules/system/unconfined.te 2007-07-25 10:37:42.000000000 -0400
|
--- nsaserefpolicy/policy/modules/system/unconfined.te 2007-07-25 10:37:42.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.te 2007-10-08 10:08:01.000000000 -0400
|
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.te 2007-10-08 10:08:01.000000000 -0400
|
||||||
|
@ -16433,6 +16942,14 @@ diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/users serefpolicy-3.0
|
||||||
- gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r'), s0, s0 - mls_systemhigh, mcs_allcats)
|
- gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r'), s0, s0 - mls_systemhigh, mcs_allcats)
|
||||||
-')
|
-')
|
||||||
+gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r') system_r, s0, s0 - mls_systemhigh, mcs_allcats)
|
+gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r') system_r, s0, s0 - mls_systemhigh, mcs_allcats)
|
||||||
|
Binary files nsaserefpolicy/ru/ftpd_selinux.8.gz and serefpolicy-3.0.8/ru/ftpd_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/httpd_selinux.8.gz and serefpolicy-3.0.8/ru/httpd_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/kerberos_selinux.8.gz and serefpolicy-3.0.8/ru/kerberos_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/named_selinux.8.gz and serefpolicy-3.0.8/ru/named_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/nfs_selinux.8.gz and serefpolicy-3.0.8/ru/nfs_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/rsync_selinux.8.gz and serefpolicy-3.0.8/ru/rsync_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/samba_selinux.8.gz and serefpolicy-3.0.8/ru/samba_selinux.8.gz differ
|
||||||
|
Binary files nsaserefpolicy/ru/ypbind_selinux.8.gz and serefpolicy-3.0.8/ru/ypbind_selinux.8.gz differ
|
||||||
diff --exclude-from=exclude -N -u -r nsaserefpolicy/Rules.modular serefpolicy-3.0.8/Rules.modular
|
diff --exclude-from=exclude -N -u -r nsaserefpolicy/Rules.modular serefpolicy-3.0.8/Rules.modular
|
||||||
--- nsaserefpolicy/Rules.modular 2007-05-25 09:09:10.000000000 -0400
|
--- nsaserefpolicy/Rules.modular 2007-05-25 09:09:10.000000000 -0400
|
||||||
+++ serefpolicy-3.0.8/Rules.modular 2007-10-03 11:10:25.000000000 -0400
|
+++ serefpolicy-3.0.8/Rules.modular 2007-10-03 11:10:25.000000000 -0400
|
||||||
|
|
|
@ -17,7 +17,7 @@
|
||||||
Summary: SELinux policy configuration
|
Summary: SELinux policy configuration
|
||||||
Name: selinux-policy
|
Name: selinux-policy
|
||||||
Version: 3.0.8
|
Version: 3.0.8
|
||||||
Release: 19%{?dist}
|
Release: 20%{?dist}
|
||||||
License: GPLv2+
|
License: GPLv2+
|
||||||
Group: System Environment/Base
|
Group: System Environment/Base
|
||||||
Source: serefpolicy-%{version}.tgz
|
Source: serefpolicy-%{version}.tgz
|
||||||
|
@ -47,7 +47,7 @@ Requires(pre): policycoreutils >= %{POLICYCOREUTILSVER} libsemanage >= 1.6.17-1
|
||||||
SELinux Base package
|
SELinux Base package
|
||||||
|
|
||||||
%files
|
%files
|
||||||
%{_mandir}/man8/*
|
%{_mandir}/*
|
||||||
%doc %{_usr}/share/doc/%{name}-%{version}
|
%doc %{_usr}/share/doc/%{name}-%{version}
|
||||||
%dir %{_usr}/share/selinux
|
%dir %{_usr}/share/selinux
|
||||||
%dir %{_sysconfdir}/selinux
|
%dir %{_sysconfdir}/selinux
|
||||||
|
@ -177,8 +177,8 @@ Based off of reference policy: Checked out revision 2393.
|
||||||
%install
|
%install
|
||||||
# Build targeted policy
|
# Build targeted policy
|
||||||
%{__rm} -fR %{buildroot}
|
%{__rm} -fR %{buildroot}
|
||||||
mkdir -p %{buildroot}%{_mandir}/man8/
|
mkdir -p %{buildroot}%{_mandir}
|
||||||
install -m 644 man/man8/*.8 %{buildroot}%{_mandir}/man8/
|
cp -R man %{buildroot}%{_mandir}
|
||||||
mkdir -p %{buildroot}%{_sysconfdir}/selinux
|
mkdir -p %{buildroot}%{_sysconfdir}/selinux
|
||||||
mkdir -p %{buildroot}%{_sysconfdir}/sysconfig
|
mkdir -p %{buildroot}%{_sysconfdir}/sysconfig
|
||||||
touch %{buildroot}%{_sysconfdir}/selinux/config
|
touch %{buildroot}%{_sysconfdir}/selinux/config
|
||||||
|
@ -371,6 +371,9 @@ exit 0
|
||||||
%endif
|
%endif
|
||||||
|
|
||||||
%changelog
|
%changelog
|
||||||
|
* Tue Oct 9 2007 Dan Walsh <dwalsh@redhat.com> 3.0.8-20
|
||||||
|
- Fixes for consolekit and startx sessions
|
||||||
|
|
||||||
* Mon Oct 8 2007 Dan Walsh <dwalsh@redhat.com> 3.0.8-19
|
* Mon Oct 8 2007 Dan Walsh <dwalsh@redhat.com> 3.0.8-19
|
||||||
- Dontaudit consoletype talking to unconfined_t
|
- Dontaudit consoletype talking to unconfined_t
|
||||||
|
|
||||||
|
|
Loading…
Reference in New Issue