Add conditional for new SELinux capabilities available in Fedora 11

author: rcrit <rcrit@moon.greyoak.com> 2009-07-01 15:10:49 -0400
committer: Rob Crittenden <rcritten@redhat.com> 2009-07-23 14:59:20 -0400
commit: a9f70edb87c3d051199b44e65869ee13bee4a5bb (patch)
tree: 40155a70f6b5ef87253d7d96cf76b09f9562e86d /selinux
parent: de53d0a26e1ad7ae20368967f81b7e6391b7198d (diff)
download: freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.tar.gz
freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.tar.xz
freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.zip
2 files changed, 14 insertions, 11 deletions
diff --git a/selinux/ipa_webgui/ipa_webgui.if b/selinux/ipa_webgui/ipa_webgui.if
new file mode 100644
index 000000000..49d277aa2
--- /dev/null
+++ b/selinux/ipa_webgui/ipa_webgui.if
@@ -0,0 +1,8 @@
+## <summary></summary>
+
+ifdef(`userdom_dontaudit_search_admin_dir', `', ` dnl
+interface(`userdom_dontaudit_search_admin_dir', `
+    userdom_dontaudit_search_sysadm_home_dirs($1)
+')
+')
+
diff --git a/selinux/ipa_webgui/ipa_webgui.te b/selinux/ipa_webgui/ipa_webgui.te
index a9818d82c..bfa7c87b3 100644
--- a/selinux/ipa_webgui/ipa_webgui.te
+++ b/selinux/ipa_webgui/ipa_webgui.te
@@ -5,9 +5,6 @@ policy_module(ipa_webgui, 1.0)
 # Declarations
 #
 
-require {
-        type sbin_t;
-}
 type ipa_webgui_t;
 type ipa_webgui_exec_t;
 type ipa_webgui_var_run_t;
@@ -18,6 +15,10 @@ init_daemon_domain(ipa_webgui_t, ipa_webgui_exec_t)
 type ipa_webgui_log_t;
 logging_log_file(ipa_webgui_log_t)
 
+require {
+        type httpd_tmp_t;
+}
+
 ########################################
 #
 # IPA webgui local policy
@@ -31,9 +32,6 @@ allow ipa_webgui_t self:process setfscreate;
 # the ipa_webgui process. Unfortunately, the kerberos
 # libraries seem to insist that it be open rw. To top it
 # all off there is no interface for this either.
-require {
-	type httpd_tmp_t;
-}
 allow ipa_webgui_t httpd_tmp_t:file read_file_perms;
 dontaudit ipa_webgui_t httpd_tmp_t:file write;
 
@@ -76,7 +74,7 @@ manage_dirs_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t)
 manage_files_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t)
 files_var_filetrans(ipa_webgui_t, ipa_cache_t,dir)
 
-userdom_dontaudit_search_sysadm_home_dirs(ipa_webgui_t)
+userdom_dontaudit_search_admin_dir(ipa_webgui_t)
 
 corenet_tcp_sendrecv_all_if(ipa_webgui_t)
 corenet_udp_sendrecv_all_if(ipa_webgui_t)
@@ -86,12 +84,9 @@ corenet_udp_sendrecv_all_nodes(ipa_webgui_t)
 corenet_raw_sendrecv_all_nodes(ipa_webgui_t)
 corenet_tcp_sendrecv_all_ports(ipa_webgui_t)
 corenet_udp_sendrecv_all_ports(ipa_webgui_t)
-corenet_non_ipsec_sendrecv(ipa_webgui_t)
+corenet_all_recvfrom_unlabeled(ipa_webgui_t)
 corenet_tcp_bind_all_nodes(ipa_webgui_t)
 corenet_udp_bind_all_nodes(ipa_webgui_t)
 corenet_tcp_bind_http_cache_port(ipa_webgui_t)
 corenet_tcp_connect_http_cache_port(ipa_webgui_t)
 corenet_tcp_connect_ldap_port(ipa_webgui_t)
-
-corecmd_search_sbin(ipa_webgui_t)
-allow ipa_webgui_t sbin_t:dir read;
author	rcrit <rcrit@moon.greyoak.com>	2009-07-01 15:10:49 -0400
committer	Rob Crittenden <rcritten@redhat.com>	2009-07-23 14:59:20 -0400
commit	a9f70edb87c3d051199b44e65869ee13bee4a5bb (patch)
tree	40155a70f6b5ef87253d7d96cf76b09f9562e86d /selinux
parent	de53d0a26e1ad7ae20368967f81b7e6391b7198d (diff)
download	freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.tar.gz freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.tar.xz freeipa-a9f70edb87c3d051199b44e65869ee13bee4a5bb.zip