Changeset 119

Show
Ignore:
Timestamp:
11/03/06 12:53:16 (2 years ago)
Author:
ccase
Message:

merged with upstream 2006-11-03

Files:

Legend:

Unmodified
Added
Removed
Modified
Copied
Moved

  • upstream/ipsec-tools/src/racoon/sockmisc.c

    r86 r119  
    1 /*      $NetBSD: sockmisc.c,v 1.7 2006/10/02 21:19:43 manu Exp $      */ 
     1/*      $NetBSD: sockmisc.c,v 1.8 2006/10/31 00:17:21 cbiere Exp $    */ 
    22 
    33/* Id: sockmisc.c,v 1.24 2006/05/07 21:32:59 manubsd Exp */ 
     
    4646#endif 
    4747 
    48 #if defined(IP_RECVDSTADDR) && !defined(IPV6_RECVDSTADDR) 
     48#if defined(INET6) && !defined(INET6_ADVAPI) && \ 
     49        defined(IP_RECVDSTADDR) && !defined(IPV6_RECVDSTADDR) 
    4950#define IPV6_RECVDSTADDR IP_RECVDSTADDR 
    5051#endif 

  • upstream/refpolicy/Changelog

    r73 r119  
     1- Patch from Matt Anderson for a MLS constraint exemption on a 
     2  file that can be written to from a subject whose range is 
     3  within the object's range. 
     4- Enhanced setransd support from Darrel Goeddel. 
     5- Patches from Dan Walsh: 
     6        Tue, 24 Oct 2006 
     7- Added modules: 
     8        iscsi (Dan Walsh) 
     9 
    110* Wed Oct 18 2006 Chris PeBenito <selinux@tresys.com> - 20061018 
    211- Patch from Russell Coker Thu, 5 Oct 2006 

  • upstream/refpolicy/Makefile

    r73 r119  
    193193ifeq "$(DISTRO)" "rhel4" 
    194194        M4PARAM += -D distro_redhat 
    195 endif 
    196  
    197 # enable polyinstantiation 
    198 ifeq ($(POLY),y) 
    199         M4PARAM += -D enable_polyinstantiation 
    200195endif 
    201196 
     
    544539        $(verbose) echo "MONOLITHIC ?= n" >> $(headerdir)/build.conf 
    545540        $(verbose) echo "DIRECT_INITRC ?= $(DIRECT_INITRC)" >> $(headerdir)/build.conf 
    546         $(verbose) echo "POLY ?= $(POLY)" >> $(headerdir)/build.conf 
    547541        $(verbose) echo "override MLS_SENS := $(MLS_SENS)" >> $(headerdir)/build.conf 
    548542        $(verbose) echo "override MLS_CATS := $(MLS_CATS)" >> $(headerdir)/build.conf 

  • upstream/refpolicy/build.conf

    r48 r119  
    4343MONOLITHIC=y 
    4444 
    45 # Polyinstantiation 
    46 # Enable polyinstantiated directory support. 
    47 POLY=n 
    48  
    4945# Number of MLS Sensitivities 
    5046# The sensitivities will be s0 to s(MLS_SENS-1). 

  • upstream/refpolicy/policy/flask/access_vectors

    r48 r119  
    254254        execheap 
    255255        setkeycreate 
     256        setsockcreate 
    256257} 
    257258 
     
    631632        create 
    632633} 
     634 
     635class context 
     636{ 
     637        translate 
     638} 

  • upstream/refpolicy/policy/flask/security_classes

    r48 r119  
    9494class key 
    9595 
     96class context                   # userspace 
     97 
    9698# FLASK 

  • upstream/refpolicy/policy/global_tunables

    r48 r119  
    124124## </desc> 
    125125gen_tunable(allow_nfsd_anon_write,false) 
     126 
     127## <desc> 
     128## <p> 
     129## Enable polyinstantiated directory support. 
     130## </p> 
     131## </desc> 
     132gen_tunable(allow_polyinstantiation,false) 
    126133 
    127134## <desc> 

  • upstream/refpolicy/policy/mls

    r73 r119  
    9090        (( l1 eq l2 ) or 
    9191         (( t1 == mlsfilewritetoclr ) and ( h1 dom l2 ) and ( l1 domby l2 )) or 
     92         (( t2 == mlsfilewriteinrange ) and ( l1 dom l2 ) and ( h1 domby h2 )) or 
    9293         ( t1 == mlsfilewrite ) or 
    9394         ( t2 == mlstrustedobject )); 
     
    588589         ( t2 == unlabeled_t )); 
    589590 
     591 
     592 
     593# 
     594# MLS policy for the context class 
     595# 
     596 
     597mlsconstrain context translate 
     598        (( h1 dom h2 ) or ( t1 == mlstranslate )); 
     599 
    590600') dnl end enable_mls 

  • upstream/refpolicy/policy/modules/admin/amanda.te

    r73 r119  
    11 
    2 policy_module(amanda,1.4.0
     2policy_module(amanda,1.4.1
    33 
    44####################################### 
     
    9898 
    9999allow amanda_t amanda_log_t:file create_file_perms; 
    100 allow amanda_t amanda_log_t:dir { rw_dir_perms setattr }
     100allow amanda_t amanda_log_t:dir manage_dir_perms
    101101logging_log_filetrans(amanda_t,amanda_log_t,{ file dir }) 
    102102 
     
    124124corenet_tcp_bind_all_nodes(amanda_t) 
    125125corenet_udp_bind_all_nodes(amanda_t) 
     126corenet_tcp_bind_all_rpc_ports(amanda_t) 
    126127 
    127128dev_getattr_all_blk_files(amanda_t) 

  • upstream/refpolicy/policy/modules/admin/anaconda.te

    r73 r119  
    11 
    2 policy_module(anaconda,1.1.0
     2policy_module(anaconda,1.1.1
    33 
    44######################################## 
     
    3737userdom_generic_user_home_dir_filetrans_generic_user_home_content(anaconda_t,{ dir file lnk_file fifo_file sock_file }) 
    3838 
    39 ifdef(`distro_redhat',` 
    40         bootloader_create_runtime_file(anaconda_t) 
    41 ') 
    42  
    4339optional_policy(` 
    4440        dmesg_domtrans(anaconda_t) 

  • upstream/refpolicy/policy/modules/admin/bootloader.fc

    r48 r119  
    88 
    99/sbin/grub              --      gen_context(system_u:object_r:bootloader_exec_t,s0) 
    10 #/sbin/grub-.*          --      gen_context(system_u:object_r:bootloader_helper_exec_t,s0) 
    11 #/sbin/grubby           --      gen_context(system_u:object_r:bootloader_helper_exec_t,s0) 
    1210/sbin/lilo.*            --      gen_context(system_u:object_r:bootloader_exec_t,s0) 
    1311/sbin/mkinitrd          --      gen_context(system_u:object_r:bootloader_exec_t,s0) 

  • upstream/refpolicy/policy/modules/admin/bootloader.te

    r73 r119  
    11 
    2 policy_module(bootloader,1.3.0
     2policy_module(bootloader,1.3.1
    33 
    44######################################## 

  • upstream/refpolicy/policy/modules/admin/netutils.te

    r73 r119  
    11 
    2 policy_module(netutils,1.2.0
     2policy_module(netutils,1.2.1
    33 
    44######################################## 
     
    8686optional_policy(` 
    8787        nis_use_ypbind(netutils_t) 
     88') 
     89 
     90optional_policy(` 
     91        xen_append_log(netutils_t) 
    8892') 
    8993 

  • upstream/refpolicy/policy/modules/admin/prelink.te

    r73 r119  
    11 
    2 policy_module(prelink,1.2.0
     2policy_module(prelink,1.2.1
    33 
    44######################################## 
     
    2525 
    2626allow prelink_t self:capability { chown dac_override fowner fsetid }; 
    27 allow prelink_t self:process { execheap execmem execstack }; 
     27allow prelink_t self:process { execheap execmem execstack signal }; 
    2828allow prelink_t self:fifo_file rw_file_perms; 
    2929 
     
    7777miscfiles_read_localization(prelink_t) 
    7878 
     79ifdef(`targeted_policy',` 
     80        term_use_unallocated_ttys(prelink_t) 
     81        term_use_generic_ptys(prelink_t) 
     82 
     83        # prelink executables in the user homedir 
     84        userdom_manage_generic_user_home_content_files(prelink_t) 
     85') 
     86 
    7987optional_policy(` 
    8088        cron_system_entry(prelink_t, prelink_exec_t) 

  • upstream/refpolicy/policy/modules/admin/rpm.if

    r48 r119  
    161161######################################## 
    162162## <summary> 
     163##      Send and receive messages from 
     164##      rpm over dbus. 
     165## </summary> 
     166## <param name="domain"> 
     167##      <summary> 
     168##      Domain allowed access. 
     169##      </summary> 
     170## </param> 
     171# 
     172interface(`rpm_dbus_chat',` 
     173        gen_require(` 
     174                type rpm_t; 
     175                class dbus send_msg; 
     176        ') 
     177 
     178        allow $1 rpm_t:dbus send_msg; 
     179        allow rpm_t $1:dbus send_msg; 
     180') 
     181 
     182######################################## 
     183## <summary> 
    163184##      Create, read, write, and delete the RPM log. 
    164185## </summary> 

  • upstream/refpolicy/policy/modules/admin/rpm.te

    r73 r119  
    11 
    2 policy_module(rpm,1.4.0
     2policy_module(rpm,1.4.1
    33 
    44######################################## 

  • upstream/refpolicy/policy/modules/admin/su.if

    r48 r119  
    8080        auth_dontaudit_read_shadow($1_su_t) 
    8181        auth_use_nsswitch($1_su_t) 
     82        auth_rw_faillog($1_su_t) 
    8283 
    8384        domain_use_interactive_fds($1_su_t) 
     
    267268        ') 
    268269 
    269         ifdef(`enable_polyinstantiation',` 
    270                 fs_mount_xattr_fs($1_su_t) 
    271                 fs_unmount_xattr_fs($1_su_t) 
    272         ') 
    273  
    274270        ifdef(`targeted_policy',` 
    275271                # allow user to suspend terminal. 
     
    285281        ') 
    286282 
     283        tunable_policy(`allow_polyinstantiation',` 
     284                fs_mount_xattr_fs($1_su_t) 
     285                fs_unmount_xattr_fs($1_su_t) 
     286        ') 
     287 
    287288        tunable_policy(`use_nfs_home_dirs',` 
    288289                fs_search_nfs($1_su_t) 

  • upstream/refpolicy/policy/modules/admin/su.te

    r73 r119  
    11 
    2 policy_module(su,1.4.0
     2policy_module(su,1.4.1
    33 
    44######################################## 

  • upstream/refpolicy/policy/modules/admin/usermanage.te

    r73 r119  
    11 
    2 policy_module(usermanage,1.4.0
     2policy_module(usermanage,1.4.1
    33 
    44######################################## 
     
    380380files_tmp_filetrans(sysadm_passwd_t, sysadm_passwd_tmp_t, { file dir }) 
    381381files_search_var(sysadm_passwd_t) 
     382files_dontaudit_search_home(sysadm_passwd_t) 
    382383 
    383384kernel_read_kernel_sysctls(sysadm_passwd_t) 
     
    445446optional_policy(` 
    446447        nscd_domtrans(sysadm_passwd_t) 
     448        nscd_socket_use(sysadm_passwd_t) 
    447449') 
    448450 
     
    467469allow useradd_t self:netlink_audit_socket { create_netlink_socket_perms nlmsg_relay }; 
    468470 
     471# for getting the number of groups 
     472kernel_read_kernel_sysctls(useradd_t) 
     473 
     474corecmd_exec_shell(useradd_t) 
     475# Execute /usr/bin/{passwd,chfn,chsh} and /usr/sbin/{useradd,vipw}. 
     476corecmd_exec_bin(useradd_t) 
     477corecmd_exec_sbin(useradd_t) 
     478 
     479domain_use_interactive_fds(useradd_t) 
     480 
     481files_manage_etc_files(useradd_t) 
     482files_search_var_lib(useradd_t) 
     483files_relabel_etc_files(useradd_t) 
     484files_read_etc_runtime_files(useradd_t) 
     485 
     486fs_search_auto_mountpoints(useradd_t) 
     487fs_getattr_xattr_fs(useradd_t) 
     488 
    469489# Allow access to context for shadow file 
    470490selinux_get_fs_mount(useradd_t) 
     
    474494selinux_compute_relabel_context(useradd_t) 
    475495selinux_compute_user_contexts(useradd_t) 
    476 # for getting the number of groups 
    477 kernel_read_kernel_sysctls(useradd_t) 
    478  
    479 fs_search_auto_mountpoints(useradd_t) 
    480 fs_getattr_xattr_fs(useradd_t) 
    481496 
    482497term_use_all_user_ttys(useradd_t) 
     
    490505auth_use_nsswitch(useradd_t) 
    491506 
    492 corecmd_exec_shell(useradd_t) 
    493 # Execute /usr/bin/{passwd,chfn,chsh} and /usr/sbin/{useradd,vipw}. 
    494 corecmd_exec_bin(useradd_t) 
    495 corecmd_exec_sbin(useradd_t) 
    496  
    497 domain_use_interactive_fds(useradd_t) 
    498  
    499 files_manage_etc_files(useradd_t) 
    500 files_search_var_lib(useradd_t) 
    501 files_relabel_etc_files(useradd_t) 
    502 files_read_etc_runtime_files(useradd_t) 
    503  
    504507init_use_fds(useradd_t) 
    505508init_rw_utmp(useradd_t) 
     
    514517seutil_read_config(useradd_t) 
    515518seutil_read_file_contexts(useradd_t) 
     519seutil_read_default_contexts(useradd_t) 
    516520 
    517521userdom_use_unpriv_users_fds(useradd_t) 
     
    522526userdom_manage_generic_user_home_content_dirs(useradd_t) 
    523527userdom_manage_generic_user_home_content_files(useradd_t) 
     528userdom_manage_generic_user_home_dirs(useradd_t) 
    524529userdom_manage_staff_home_dirs(useradd_t) 
    525530userdom_generic_user_home_dir_filetrans_generic_user_home_content(useradd_t,notdevfile_class_set) 

  • upstream/refpolicy/policy/modules/apps/java.fc

    r48 r119  
    33# 
    44/opt/(.*/)?bin/java([^/]*)? --  gen_context(system_u:object_r:java_exec_t,s0) 
     5/opt/ibm/java2-ppc64-50/jre/(bin|javaws)(/.*)? -- gen_context(system_u:object_r:java_exec_t,s0) 
    56 
    67# 

  • upstream/refpolicy/policy/modules/apps/java.te

    r73 r119  
    11 
    2 policy_module(java,1.2.0
     2policy_module(java,1.2.1
    33 
    44######################################## 
     
    1717 
    1818ifdef(`targeted_policy',` 
    19         allow java_t self:process { execstack execmem }; 
     19        # execheap is needed for itanium/BEA jrocket 
     20        allow java_t self:process { execstack execmem execheap }; 
    2021        unconfined_domain_noaudit(java_t) 
    2122        role system_r types java_t; 

  • upstream/refpolicy/policy/modules/apps/mono.te

    r73 r119  
    11 
    2 policy_module(mono,1.2.0
     2policy_module(mono,1.2.1
    33 
    44######################################## 
     
    4343 
    4444        optional_policy(` 
     45                rpm_dbus_chat(mono_t) 
     46        ') 
     47 
     48        optional_policy(` 
    4549                unconfined_dbus_connect(mono_t) 
    4650        ') 

  • upstream/refpolicy/policy/modules/kernel/corecommands.fc

    r48 r119  
    6464/etc/X11/xinit(/.*)?                    gen_context(system_u:object_r:bin_t,s0) 
    6565 
     66/etc/profile.d(/.*)?                    gen_context(system_u:object_r:bin_t,s0) 
    6667/etc/xen/qemu-ifup              --      gen_context(system_u:object_r:bin_t,s0) 
    6768/etc/xen/scripts(/.*)?                  gen_context(system_u:object_r:bin_t,s0) 

  • upstream/refpolicy/policy/modules/kernel/corecommands.if

    r48 r119  
    134134        ') 
    135135 
    136         allow $1 bin_t:dir search
     136        allow $1 bin_t:dir search_dir_perms
    137137') 
    138138 
     
    152152        ') 
    153153 
    154         allow $1 bin_t:dir r_dir_perms; 
     154        allow $1 bin_t:dir list_dir_perms; 
    155155') 
    156156 
     
    188188        ') 
    189189 
    190         allow $1 bin_t:dir search
    191         allow $1 bin_t:file r_file_perms; 
     190        allow $1 bin_t:dir search_dir_perms
     191        allow $1 bin_t:file read_file_perms; 
    192192') 
    193193 
     
    207207        ') 
    208208 
    209         allow $1 bin_t:dir search
    210         allow $1 bin_t:lnk_file r_file_perms; 
     209        allow $1 bin_t:dir search_dir_perms
     210        allow $1 bin_t:lnk_file read_file_perms; 
    211211') 
    212212 
     
    226226        ') 
    227227 
    228         allow $1 bin_t:dir search
    229         allow $1 bin_t:fifo_file r_file_perms; 
     228        allow $1 bin_t:dir search_dir_perms
     229        allow $1 bin_t:fifo_file read_file_perms; 
    230230') 
    231231 
     
    245245        ') 
    246246 
    247         allow $1 bin_t:dir search
    248         allow $1 bin_t:sock_file r_file_perms; 
     247        allow $1 bin_t:dir search_dir_perms
     248        allow $1 bin_t:sock_file read_file_perms; 
    249249') 
    250250 
     
    265265        ') 
    266266 
    267         allow $1 bin_t:dir r_dir_perms; 
    268         allow $1 bin_t:lnk_file r_file_perms; 
     267        allow $1 bin_t:dir list_dir_perms; 
     268        allow $1 bin_t:lnk_file read_file_perms; 
    269269        can_exec($1,bin_t) 
    270270 
     
    369369        ') 
    370370 
    371         allow $1 bin_t:dir search
     371        allow $1 bin_t:dir search_dir_perms
    372372        allow $1 bin_t:lnk_file { getattr read }; 
    373373 
     
    470470        ') 
    471471 
    472         allow $1 sbin_t:dir r_dir_perms; 
     472        allow $1 sbin_t:dir list_dir_perms; 
    473473') 
    474474 
     
    525525        ') 
    526526 
    527         allow $1 sbin_t:dir search
    528         allow $1 sbin_t:file r_file_perms; 
     527        allow $1 sbin_t:dir search_dir_perms
     528        allow $1 sbin_t:file read_file_perms; 
    529529') 
    530530 
     
    544544        ') 
    545545 
    546         allow $1 sbin_t:dir search
    547         allow $1 sbin_t:lnk_file r_file_perms; 
     546        allow $1 sbin_t:dir search_dir_perms
     547        allow $1 sbin_t:lnk_file read_file_perms; 
    548548') 
    549549 
     
    563563        ') 
    564564 
    565         allow $1 sbin_t:dir search
    566         allow $1 sbin_t:fifo_file r_file_perms; 
     565        allow $1 sbin_t:dir search_dir_perms
     566        allow $1 sbin_t:fifo_file read_file_perms; 
    567567') 
    568568 
     
    582582        ') 
    583583 
    584         allow $1 sbin_t:dir search
    585         allow $1 sbin_t:sock_file r_file_perms; 
     584        allow $1 sbin_t:dir search_dir_perms
     585        allow $1 sbin_t:sock_file read_file_perms; 
    586586') 
    587587 
     
    602602        ') 
    603603 
    604         allow $1 sbin_t:dir r_dir_perms; 
    605         allow $1 sbin_t:lnk_file r_file_perms; 
     604        allow $1 sbin_t:dir list_dir_perms; 
     605        allow $1 sbin_t:lnk_file read_file_perms; 
    606606        can_exec($1,sbin_t) 
    607607') 
     
    706706        ') 
    707707 
    708         allow $1 sbin_t:dir search
     708        allow $1 sbin_t:dir search_dir_perms
    709709        allow $1 sbin_t:lnk_file { getattr read }; 
    710710 
     
    753753        ') 
    754754 
    755         allow $1 sbin_t:dir search
     755        allow $1 sbin_t:dir search_dir_perms
    756756        allow $1 sbin_t:lnk_file { getattr read }; 
    757757 
     
    774774        ') 
    775775 
    776         allow $1 bin_t:dir r_dir_perms; 
    777         allow $1 bin_t:lnk_file r_file_perms; 
     776        allow $1 bin_t:dir list_dir_perms; 
     777        allow $1 bin_t:lnk_file read_file_perms; 
    778778        allow $1 shell_exec_t:file execute; 
    779779') 
     
    794794        ') 
    795795 
    796         allow $1 bin_t:dir r_dir_perms; 
    797         allow $1 bin_t:lnk_file r_file_perms; 
     796        allow $1 bin_t:dir list_dir_perms; 
     797        allow $1 bin_t:lnk_file read_file_perms; 
    798798        can_exec($1,shell_exec_t) 
    799799') 
     
    814814        ') 
    815815 
    816         allow $1 bin_t:dir r_dir_perms; 
    817         allow $1 bin_t:lnk_file r_file_perms; 
     816        allow $1 bin_t:dir list_dir_perms; 
     817        allow $1 bin_t:lnk_file read_file_perms; 
    818818        can_exec($1,ls_exec_t) 
    819819') 
     
    853853        ') 
    854854 
    855         allow $1 bin_t:dir r_dir_perms; 
    856         allow $1 bin_t:lnk_file r_file_perms; 
     855        allow $1 bin_t:dir list_dir_perms; 
     856        allow $1 bin_t:lnk_file read_file_perms; 
    857857 
    858858        domain_trans($1,shell_exec_t,$2) 

  • upstream/refpolicy/policy/modules/kernel/corecommands.te

    r73 r119  
    11 
    2 policy_module(corecommands,1.4.0
     2policy_module(corecommands,1.4.2
    33 
    44######################################## 

  • upstream/refpolicy/policy/modules/kernel/corenetwork.te.in

    r73 r119  
    11 
    2 policy_module(corenetwork,1.2.0
     2policy_module(corenetwork,1.2.1
    33 
    44######################################## 
     
    9393network_port(ircd, tcp,6667,s0) 
    9494network_port(isakmp, udp,500,s0) 
     95network_port(iscsi, tcp,3260,s0) 
    9596network_port(jabber_client, tcp,5222,s0, tcp,5223,s0) 
    9697network_port(jabber_interserver, tcp,5269,s0) 
     
    206207# Bind to any network address. 
    207208allow corenet_unconfined_type port_type:{ tcp_socket udp_socket } name_bind; 
    208 allow corenet_unconfined_type node_type:{ tcp_socket udp_socket } node_bind; 
     209allow corenet_unconfined_type node_type:{ tcp_socket udp_socket rawip_socket } node_bind; 

  • upstream/refpolicy/policy/modules/kernel/devices.fc

    r48 r119  
    9999/dev/usb/scanner.*      -c      gen_context(system_u:object_r:scanner_device_t,s0) 
    100100 
     101/dev/xen/blktap.*       -c      gen_context(system_u:object_r:xen_device_t,s0) 
    101102/dev/xen/evtchn         -c      gen_context(system_u:object_r:xen_device_t,s0) 
    102103 

  • upstream/refpolicy/policy/modules/kernel/devices.te

    r73 r119  
    11 
    2 policy_module(devices,1.2.0
     2policy_module(devices,1.2.2
    33 
    44######################################## 
     
    120120type printer_device_t; 
    121121dev_node(printer_device_t) 
     122mls_file_write_within_range(printer_device_t) 
    122123 
    123124# 

  • upstream/refpolicy/policy/modules/kernel/files.fc

    r48 r119  
    124124/media(/[^/]*)?         -d      gen_context(system_u:object_r:mnt_t,s0) 
    125125/media/[^/]*/.*                 <<none>> 
     126/media/\.hal-.*         --      gen_context(system_u:object_r:mnt_t,s0) 
    126127 
    127128# 

  • upstream/refpolicy/policy/modules/kernel/files.te

    r73 r119  
    11 
    2 policy_module(files,1.3.0
     2policy_module(files,1.3.1
    33 
    44######################################## 

  • upstream/refpolicy/policy/modules/kernel/filesystem.if

    <