diff options
| author | rcrit <rcrit@moon.greyoak.com> | 2009-07-01 15:48:39 -0400 |
|---|---|---|
| committer | Rob Crittenden <rcritten@redhat.com> | 2009-07-23 14:59:39 -0400 |
| commit | d44c26a4fc72a8eea69d92c87f8265477555c127 (patch) | |
| tree | 6241a80dfb92acf560c3c009369fb3b5abbf294a | |
| parent | d658e88f635fa84341e71d2de9151a37e1c69914 (diff) | |
| download | freeipa-d44c26a4fc72a8eea69d92c87f8265477555c127.tar.gz freeipa-d44c26a4fc72a8eea69d92c87f8265477555c127.tar.xz freeipa-d44c26a4fc72a8eea69d92c87f8265477555c127.zip | |
Add conditional for new SELinux capabilities available in Fedora 11
| -rw-r--r-- | ipa-server/selinux/ipa_webgui/ipa_webgui.te | 17 | ||||
| -rw-r--r-- | selinux/ipa_webgui/ipa_webgui.if | 5 |
2 files changed, 11 insertions, 11 deletions
diff --git a/ipa-server/selinux/ipa_webgui/ipa_webgui.te b/ipa-server/selinux/ipa_webgui/ipa_webgui.te index a9818d82..bfa7c87b 100644 --- a/ipa-server/selinux/ipa_webgui/ipa_webgui.te +++ b/ipa-server/selinux/ipa_webgui/ipa_webgui.te @@ -5,9 +5,6 @@ policy_module(ipa_webgui, 1.0) # Declarations # -require { - type sbin_t; -} type ipa_webgui_t; type ipa_webgui_exec_t; type ipa_webgui_var_run_t; @@ -18,6 +15,10 @@ init_daemon_domain(ipa_webgui_t, ipa_webgui_exec_t) type ipa_webgui_log_t; logging_log_file(ipa_webgui_log_t) +require { + type httpd_tmp_t; +} + ######################################## # # IPA webgui local policy @@ -31,9 +32,6 @@ allow ipa_webgui_t self:process setfscreate; # the ipa_webgui process. Unfortunately, the kerberos # libraries seem to insist that it be open rw. To top it # all off there is no interface for this either. -require { - type httpd_tmp_t; -} allow ipa_webgui_t httpd_tmp_t:file read_file_perms; dontaudit ipa_webgui_t httpd_tmp_t:file write; @@ -76,7 +74,7 @@ manage_dirs_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) manage_files_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) files_var_filetrans(ipa_webgui_t, ipa_cache_t,dir) -userdom_dontaudit_search_sysadm_home_dirs(ipa_webgui_t) +userdom_dontaudit_search_admin_dir(ipa_webgui_t) corenet_tcp_sendrecv_all_if(ipa_webgui_t) corenet_udp_sendrecv_all_if(ipa_webgui_t) @@ -86,12 +84,9 @@ corenet_udp_sendrecv_all_nodes(ipa_webgui_t) corenet_raw_sendrecv_all_nodes(ipa_webgui_t) corenet_tcp_sendrecv_all_ports(ipa_webgui_t) corenet_udp_sendrecv_all_ports(ipa_webgui_t) -corenet_non_ipsec_sendrecv(ipa_webgui_t) +corenet_all_recvfrom_unlabeled(ipa_webgui_t) corenet_tcp_bind_all_nodes(ipa_webgui_t) corenet_udp_bind_all_nodes(ipa_webgui_t) corenet_tcp_bind_http_cache_port(ipa_webgui_t) corenet_tcp_connect_http_cache_port(ipa_webgui_t) corenet_tcp_connect_ldap_port(ipa_webgui_t) - -corecmd_search_sbin(ipa_webgui_t) -allow ipa_webgui_t sbin_t:dir read; diff --git a/selinux/ipa_webgui/ipa_webgui.if b/selinux/ipa_webgui/ipa_webgui.if new file mode 100644 index 00000000..9c95dd35 --- /dev/null +++ b/selinux/ipa_webgui/ipa_webgui.if @@ -0,0 +1,5 @@ +ifdef(`userdom_dontaudit_search_admin_dir', `', ` dnl +interface(`userdom_dontaudit_search_admin_dir', ` + userdom_dontaudit_search_sysadm_home_dirs($1) +') +') |