From a9f70edb87c3d051199b44e65869ee13bee4a5bb Mon Sep 17 00:00:00 2001 From: rcrit Date: Wed, 1 Jul 2009 15:10:49 -0400 Subject: Add conditional for new SELinux capabilities available in Fedora 11 --- selinux/ipa_webgui/ipa_webgui.if | 8 ++++++++ selinux/ipa_webgui/ipa_webgui.te | 17 ++++++----------- 2 files changed, 14 insertions(+), 11 deletions(-) create mode 100644 selinux/ipa_webgui/ipa_webgui.if (limited to 'selinux') diff --git a/selinux/ipa_webgui/ipa_webgui.if b/selinux/ipa_webgui/ipa_webgui.if new file mode 100644 index 000000000..49d277aa2 --- /dev/null +++ b/selinux/ipa_webgui/ipa_webgui.if @@ -0,0 +1,8 @@ +## + +ifdef(`userdom_dontaudit_search_admin_dir', `', ` dnl +interface(`userdom_dontaudit_search_admin_dir', ` + userdom_dontaudit_search_sysadm_home_dirs($1) +') +') + diff --git a/selinux/ipa_webgui/ipa_webgui.te b/selinux/ipa_webgui/ipa_webgui.te index a9818d82c..bfa7c87b3 100644 --- a/selinux/ipa_webgui/ipa_webgui.te +++ b/selinux/ipa_webgui/ipa_webgui.te @@ -5,9 +5,6 @@ policy_module(ipa_webgui, 1.0) # Declarations # -require { - type sbin_t; -} type ipa_webgui_t; type ipa_webgui_exec_t; type ipa_webgui_var_run_t; @@ -18,6 +15,10 @@ init_daemon_domain(ipa_webgui_t, ipa_webgui_exec_t) type ipa_webgui_log_t; logging_log_file(ipa_webgui_log_t) +require { + type httpd_tmp_t; +} + ######################################## # # IPA webgui local policy @@ -31,9 +32,6 @@ allow ipa_webgui_t self:process setfscreate; # the ipa_webgui process. Unfortunately, the kerberos # libraries seem to insist that it be open rw. To top it # all off there is no interface for this either. -require { - type httpd_tmp_t; -} allow ipa_webgui_t httpd_tmp_t:file read_file_perms; dontaudit ipa_webgui_t httpd_tmp_t:file write; @@ -76,7 +74,7 @@ manage_dirs_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) manage_files_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) files_var_filetrans(ipa_webgui_t, ipa_cache_t,dir) -userdom_dontaudit_search_sysadm_home_dirs(ipa_webgui_t) +userdom_dontaudit_search_admin_dir(ipa_webgui_t) corenet_tcp_sendrecv_all_if(ipa_webgui_t) corenet_udp_sendrecv_all_if(ipa_webgui_t) @@ -86,12 +84,9 @@ corenet_udp_sendrecv_all_nodes(ipa_webgui_t) corenet_raw_sendrecv_all_nodes(ipa_webgui_t) corenet_tcp_sendrecv_all_ports(ipa_webgui_t) corenet_udp_sendrecv_all_ports(ipa_webgui_t) -corenet_non_ipsec_sendrecv(ipa_webgui_t) +corenet_all_recvfrom_unlabeled(ipa_webgui_t) corenet_tcp_bind_all_nodes(ipa_webgui_t) corenet_udp_bind_all_nodes(ipa_webgui_t) corenet_tcp_bind_http_cache_port(ipa_webgui_t) corenet_tcp_connect_http_cache_port(ipa_webgui_t) corenet_tcp_connect_ldap_port(ipa_webgui_t) - -corecmd_search_sbin(ipa_webgui_t) -allow ipa_webgui_t sbin_t:dir read; -- cgit