Changeset 2705

Show
Ignore:
Timestamp:
05/29/08 08:33:29 (6 months ago)
Author:
pebenito
Message:

rbacsep: update to trunk 2704

Files:

Legend:

Unmodified
Added
Removed
Modified
Copied
Moved

  • branches/rbacsep/Changelog

    r2675 r2705  
     1- Patch for labeled networking controls in 2.6.25 from Paul Moore. 
     2- Module loading now requires setsched on kernel threads. 
     3- Patch to allow gpg agent --write-env-file option from Vaclav Ovsik. 
    14- X application data class from Eamon Walsh and Ted Toth. 
    25- Move user roles into individual modules. 
     
    69- Patch to fix leaky interface/template call depth calculator from Vaclav 
    710  Ovsik. 
     11- Added modules: 
     12        kerneloops (Dan Walsh) 
     13        kismet (Dan Walsh) 
    814 
    915* Wed Apr 02 2008 Chris PeBenito <selinux@tresys.com> - 20080402 

  • branches/rbacsep/Rules.modular

    r2676 r2705  
    126126        $(verbose) $(M4) $(M4PARAM) $^ > $@ 
    127127 
    128 $(tmpdir)/generated_definitions.conf: $(base_te_files) 
     128$(tmpdir)/generated_definitions.conf: 
    129129        @test -d $(tmpdir) || mkdir -p $(tmpdir) 
    130130# define all available object classes 

  • branches/rbacsep/policy/modules/admin/amanda.te

    r2675 r2705  
    9595allow amanda_t amanda_gnutarlists_t:dir rw_dir_perms; 
    9696allow amanda_t amanda_gnutarlists_t:file manage_file_perms; 
    97 allow amanda_t amanda_gnutarlists_t:lnk_file manage_file_perms; 
     97allow amanda_t amanda_gnutarlists_t:lnk_file manage_lnk_file_perms; 
    9898 
    9999manage_dirs_pattern(amanda_t,amanda_var_lib_t,amanda_var_lib_t) 

  • branches/rbacsep/policy/modules/admin/apt.if

    r2675 r2705  
    189189        dontaudit $1 apt_var_lib_t:dir rw_dir_perms; 
    190190        dontaudit $1 apt_var_lib_t:file manage_file_perms; 
    191         dontaudit $1 apt_var_lib_t:lnk_file manage_lnk_perms; 
     191        dontaudit $1 apt_var_lib_t:lnk_file manage_lnk_file_perms; 
    192192') 

  • branches/rbacsep/policy/modules/admin/portage.fc

    r1926 r2705  
    1818/var/cache/edb(/.*)?                    gen_context(system_u:object_r:portage_cache_t,s0) 
    1919/var/log/emerge\.log.*          --      gen_context(system_u:object_r:portage_log_t,s0) 
     20/var/log/emerge-fetch.log       --      gen_context(system_u:object_r:portage_log_t,s0) 
     21/var/log/portage(/.*)?                  gen_context(system_u:object_r:portage_log_t,s0) 
    2022/var/lib/portage(/.*)?                  gen_context(system_u:object_r:portage_cache_t,s0) 
    2123/var/tmp/portage(/.*)?                  gen_context(system_u:object_r:portage_tmp_t,s0) 

  • branches/rbacsep/policy/modules/admin/portage.if

    r2675 r2705  
    9393        gen_require(` 
    9494                class dbus send_msg; 
     95                type portage_devpts_t, portage_log_t, portage_tmp_t; 
     96                type portage_tmpfs_t; 
    9597        ') 
    9698 
     
    220222# 
    221223interface(`portage_fetch_domain',` 
     224        gen_require(` 
     225                type portage_cache_t, portage_conf_t, portage_ebuild_t; 
     226                type portage_tmp_t, portage_fetch_tmp_t; 
     227        ') 
    222228 
    223229        allow $1 self:capability { dac_override fowner fsetid }; 
     
    291297# 
    292298interface(`portage_main_domain',` 
     299        gen_require(` 
     300                type portage_log_t, portage_tmp_t; 
     301        ') 
    293302 
    294303        # - setfscreate for merging to live fs 

  • branches/rbacsep/policy/modules/admin/portage.te

    r2675 r2705  
    11 
    2 policy_module(portage,1.5.1
     2policy_module(portage,1.5.2
    33 
    44######################################## 

  • branches/rbacsep/policy/modules/apps/awstats.if

    r2420 r2705  
    3535        gen_require(` 
    3636                type httpd_awstats_script_exec_t; 
     37                type httpd_awstats_content_t; 
    3738        ') 
    3839 

  • branches/rbacsep/policy/modules/apps/ethereal.if

    r2687 r2705  
    193193##      </summary> 
    194194## </param> 
    195 ## <param name="user_domain"> 
    196 ##      <summary> 
    197 ##      The type of the user domain. 
    198 ##      </summary> 
    199 ## </param> 
    200195# 
    201196template(`ethereal_admin_template',` 

  • branches/rbacsep/policy/modules/apps/evolution.if

    r2688 r2705  
    883883##      </summary> 
    884884## </param> 
    885 ## <param name="object"> 
     885## <param name="file_type"> 
     886##      <summary> 
     887##      Private file type. 
     888##      </summary> 
     889## </param> 
     890## <param name="class"> 
    886891##      <summary> 
    887892##      The object class of the object being created.  If 
     
    938943##      evolution over dbus. 
    939944## </summary> 
     945## <param name="userdomain_prefix"> 
     946##      <summary> 
     947##      The prefix of the user domain (e.g., user 
     948##      is the prefix for user_t). 
     949##      </summary> 
     950## </param> 
    940951## <param name="domain"> 
    941952##      <summary> 
     
    959970##      evolution_alarm over dbus. 
    960971## </summary> 
     972## <param name="userdomain_prefix"> 
     973##      <summary> 
     974##      The prefix of the user domain (e.g., user 
     975##      is the prefix for user_t). 
     976##      </summary> 
     977## </param> 
    961978## <param name="domain"> 
    962979##      <summary> 

  • branches/rbacsep/policy/modules/apps/gnome.if

    r2687 r2705  
    3535template(`gnome_per_role_template',` 
    3636        gen_require(` 
    37                 type gconfd_exec_t
     37                type gconfd_exec_t, gconf_etc_t
    3838                attribute gnomedomain; 
    3939        ') 

  • branches/rbacsep/policy/modules/apps/gpg.if

    r2687 r2705  
    208208        allow $1_gpg_agent_t self:fifo_file rw_fifo_file_perms; 
    209209 
     210        # Allow the gpg-agent to manage its tmp files (socket) 
     211        manage_dirs_pattern($1_gpg_agent_t,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
     212        manage_files_pattern($1_gpg_agent_t,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
     213        manage_sock_files_pattern($1_gpg_agent_t,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
     214        files_tmp_filetrans($1_gpg_agent_t, $1_gpg_agent_tmp_t, { file sock_file dir }) 
     215 
    210216        # read and write ~/.gnupg (gpg-agent stores secret keys in ~/.gnupg/private-keys-v1.d ) 
    211217        manage_dirs_pattern($1_gpg_agent_t,$1_gpg_secret_t,$1_gpg_secret_t) 
     
    220226 
    221227        # Allow the user shell to signal the gpg-agent program. 
    222         allow $2 $1_gpg_agent_t:process { signal sigkill }; 
    223  
     228        allow $2 $1_gpg_agent_t:process { signal sigkill signull }; 
     229 
     230        # Allow the user to manage gpg-agent tmp files (socket) 
    224231        manage_dirs_pattern($2,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
    225232        manage_files_pattern($2,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
    226233        manage_sock_files_pattern($2,$1_gpg_agent_tmp_t,$1_gpg_agent_tmp_t) 
    227         files_tmp_filetrans($1_gpg_agent_t, $1_gpg_agent_tmp_t, { file sock_file dir }) 
    228234 
    229235        # Transition from the user domain to the derived domain. 
     
    243249        # read and write ~/.gnupg (gpg-agent stores secret keys in ~/.gnupg/private-keys-v1.d ) 
    244250        userdom_search_user_home_dirs($1,$1_gpg_agent_t) 
     251 
     252        tunable_policy(`gpg_agent_env_file',` 
     253                # write ~/.gpg-agent-info or a similar to the users home dir 
     254                # or subdir (gpg-agent --write-env-file option) 
     255                # 
     256                userdom_user_home_dir_filetrans_user_home_content($1,$1_gpg_agent_t,file) 
     257                userdom_manage_user_home_content_dirs($1,$1_gpg_agent_t) 
     258                userdom_manage_user_home_content_files($1,$1_gpg_agent_t) 
     259        ') 
    245260 
    246261        tunable_policy(`use_nfs_home_dirs',` 

  • branches/rbacsep/policy/modules/apps/gpg.te

    r2687 r2705  
    11 
    2 policy_module(gpg, 1.5.0
     2policy_module(gpg, 1.5.1
    33 
    44######################################## 
     
    66# Declarations 
    77# 
     8 
     9## <desc> 
     10## <p> 
     11## Allow usage of the gpg-agent --write-env-file option. 
     12## This also allows gpg-agent to manage user files. 
     13## </p> 
     14## </desc> 
     15gen_tunable(gpg_agent_env_file, false) 
    816 
    917type gpg_t; 
     
    155163manage_lnk_files_pattern(gpg_agent_t, gpg_secret_t, gpg_secret_t) 
    156164 
     165# Allow the gpg-agent to manage its tmp files (socket) 
     166manage_dirs_pattern(gpg_agent_t, gpg_agent_tmp_t, gpg_agent_tmp_t) 
     167manage_files_pattern(gpg_agent_t, gpg_agent_tmp_t, gpg_agent_tmp_t) 
     168manage_sock_files_pattern(gpg_agent_t, gpg_agent_tmp_t, gpg_agent_tmp_t) 
     169files_tmp_filetrans(gpg_agent_t, gpg_agent_tmp_t, { file sock_file dir }) 
     170 
    157171# allow gpg to connect to the gpg agent 
    158172stream_connect_pattern(gpg_t, gpg_agent_tmp_t, gpg_agent_tmp_t, gpg_agent_t) 
     
    172186userdom_search_user_home_dirs($1, gpg_agent_t) 
    173187 
     188tunable_policy(`gpg_agent_env_file',` 
     189        # write ~/.gpg-agent-info or a similar to the users home dir 
     190        # or subdir (gpg-agent --write-env-file option) 
     191        # 
     192        userdom_user_home_dir_filetrans_user_home_content($1, gpg_agent_t,file) 
     193        userdom_manage_user_home_content_dirs($1, gpg_agent_t) 
     194        userdom_manage_user_home_content_files($1, gpg_agent_t) 
     195') 
     196 
    174197tunable_policy(`use_nfs_home_dirs',` 
    175198        fs_manage_nfs_dirs(gpg_agent_t) 

  • branches/rbacsep/policy/modules/apps/mplayer.if

    r2688 r2705  
    7676 
    7777        # Allow the user domain to signal/ps. 
    78         ps_process_pattern($2,$1_mencoder_t,$1_mencoder_t
     78        ps_process_pattern($2,$1_mencoder_t
    7979        allow $2 $1_mencoder_t:process signal_perms; 
    8080 
     
    236236                files_tmp_filetrans($1_mencoder_t,$1_untrusted_content_tmp_t,dir) 
    237237 
    238                 userdom_manage_user_untrusted_content_files($1,$1_mencoder_t,file) 
    239                 userdom_manage_user_untrusted_content_files($1,$1_mencoder_t,dir) 
    240  
     238                userdom_manage_user_untrusted_content_dirs($1,$1_mencoder_t) 
     239                userdom_manage_user_untrusted_content_files($1,$1_mencoder_t) 
    241240        ',` 
    242241                files_dontaudit_list_home($1_mencoder_t) 

  • branches/rbacsep/policy/modules/apps/rssh.if

    r2687 r2705  
    2525# 
    2626template(`rssh_per_role_template',` 
     27        gen_require(` 
     28                type rssh_exec_t; 
     29                attribute rssh_domain_type; 
     30                attribute rssh_ro_content_type; 
     31        ') 
    2732 
    2833        ############################## 

  • branches/rbacsep/policy/modules/apps/wireshark.if

    r2687 r2705  
    193193##      </summary> 
    194194## </param> 
    195 ## <param name="user_domain"> 
    196 ##      <summary> 
    197 ##      The type of the user domain. 
    198 ##      </summary> 
    199 ## </param> 
    200195# 
    201196template(`wireshark_admin_template',` 

  • branches/rbacsep/policy/modules/kernel/corecommands.if

    r2490 r2705  
    196196 
    197197        getattr_files_pattern($1,bin_t,bin_t) 
     198') 
     199 
     200######################################## 
     201## <summary> 
     202##      Get the attributes of files in bin directories. 
     203## </summary> 
     204## <param name="domain"> 
     205##      <summary> 
     206##      Domain allowed access. 
     207##      </summary> 
     208## </param> 
     209# 
     210interface(`corecmd_dontaudit_getattr_bin_files',` 
     211        gen_require(` 
     212                type bin_t; 
     213        ') 
     214 
     215        dontaudit $1 bin_t:dir search_dir_perms; 
     216        dontaudit $1 bin_t:file getattr_file_perms; 
    198217') 
    199218 
     
    686705# 
    687706interface(`corecmd_sbin_domtrans',` 
    688         corecmd_bin_domtrans($1,$2,$3
     707        corecmd_bin_domtrans($1,$2
    689708        refpolicywarn(`$0() has been deprecated, please use corecmd_bin_domtrans() instead.') 
    690709') 
     
    727746# 
    728747interface(`corecmd_sbin_spec_domtrans',` 
    729         corecmd_bin_spec_domtrans($1,$2,$3
     748        corecmd_bin_spec_domtrans($1,$2
    730749        refpolicywarn(`$0() has been deprecated, please use corecmd_bin_spec_domtrans() instead.') 
    731750') 

  • branches/rbacsep/policy/modules/kernel/corenetwork.if.in

    r2582 r2705  
    155155        ') 
    156156 
    157         allow $1 netif_t:netif { tcp_send tcp_recv }; 
     157        allow $1 netif_t:netif { tcp_send tcp_recv egress ingress }; 
    158158') 
    159159 
     
    173173        ') 
    174174 
    175         allow $1 netif_t:netif udp_send
     175        allow $1 netif_t:netif { udp_send egress }
    176176') 
    177177 
     
    192192        ') 
    193193 
    194         dontaudit $1 netif_t:netif udp_send
     194        dontaudit $1 netif_t:netif { udp_send egress }
    195195') 
    196196 
     
    210210        ') 
    211211 
    212         allow $1 netif_t:netif udp_recv
     212        allow $1 netif_t:netif { udp_recv ingress }
    213213') 
    214214 
     
    229229        ') 
    230230 
    231         dontaudit $1 netif_t:netif udp_recv
     231        dontaudit $1 netif_t:netif { udp_recv ingress }
    232232') 
    233233 
     
    278278        ') 
    279279 
    280         allow $1 netif_t:netif rawip_send
     280        allow $1 netif_t:netif { rawip_send egress }
    281281') 
    282282 
     
    296296        ') 
    297297 
    298         allow $1 netif_t:netif rawip_recv
     298        allow $1 netif_t:netif { rawip_recv ingress }
    299299') 
    300300 
     
    329329        ') 
    330330 
    331         allow $1 netif_type:netif { tcp_send tcp_recv }; 
     331        allow $1 netif_type:netif { tcp_send tcp_recv egress ingress }; 
    332332') 
    333333 
     
    347347        ') 
    348348 
    349         allow $1 netif_type:netif udp_send
     349        allow $1 netif_type:netif { udp_send egress }
    350350') 
    351351 
     
    365365        ') 
    366366 
    367         allow $1 netif_type:netif udp_recv
     367        allow $1 netif_type:netif { udp_recv ingress }
    368368') 
    369369 
     
    398398        ') 
    399399 
    400         allow $1 netif_type:netif rawip_send
     400        allow $1 netif_type:netif { rawip_send egress }
    401401') 
    402402 
     
    416416        ') 
    417417 
    418         allow $1 netif_type:netif rawip_recv
     418        allow $1 netif_type:netif { rawip_recv ingress }
    419419') 
    420420 
     
    449449        ') 
    450450 
    451         allow $1 node_t:node { tcp_send tcp_recv }; 
     451        allow $1 node_t:node { tcp_send tcp_recv sendto recvfrom }; 
    452452') 
    453453 
     
    467467        ') 
    468468 
    469         allow $1 node_t:node udp_send
     469        allow $1 node_t:node { udp_send sendto }
    470470') 
    471471 
     
    485485        ') 
    486486 
    487         allow $1 node_t:node udp_recv
     487        allow $1 node_t:node { udp_recv recvfrom }
    488488') 
    489489 
     
    518518        ') 
    519519 
    520         allow $1 node_t:node rawip_send
     520        allow $1 node_t:node { rawip_send sendto }
    521521') 
    522522 
     
    536536        ') 
    537537 
    538         allow $1 node_t:node rawip_recv
     538        allow $1 node_t:node { rawip_recv recvfrom }
    539539') 
    540540 
     
    605605        ') 
    606606 
    607         allow $1 node_type:node { tcp_send tcp_recv }; 
     607        allow $1 node_type:node { tcp_send tcp_recv sendto recvfrom }; 
    608608') 
    609609 
     
    623623        ') 
    624624 
    625         allow $1 node_type:node udp_send
     625        allow $1 node_type:node { udp_send sendto }
    626626') 
    627627 
     
    642642        ') 
    643643 
    644         dontaudit $1 node_type:node udp_send
     644        dontaudit $1 node_type:node { udp_send sendto }
    645645') 
    646646 
     
    660660        ') 
    661661 
    662         allow $1 node_type:node udp_recv
     662        allow $1 node_type:node { udp_recv recvfrom }
    663663') 
    664664 
     
    679679        ') 
    680680 
    681         dontaudit $1 node_type:node udp_recv
     681        dontaudit $1 node_type:node { udp_recv recvfrom }
    682682') 
    683683 
     
    728728        ') 
    729729 
    730         allow $1 node_type:node rawip_send
     730        allow $1 node_type:node { rawip_send sendto }
    731731') 
    732732 
     
    746746        ') 
    747747 
    748         allow $1 node_type:node rawip_recv
     748        allow $1 node_type:node { rawip_recv recvfrom }
    749749') 
    750750 
     
    17381738        ') 
    17391739 
     1740        allow $1 netlabel_peer_t:peer recv; 
    17401741        allow $1 netlabel_peer_t:tcp_socket recvfrom; 
    17411742') 
     
    17531754interface(`corenet_tcp_recvfrom_unlabeled',` 
    17541755        kernel_tcp_recvfrom_unlabeled($1) 
     1756        kernel_recvfrom_unlabeled_peer($1) 
    17551757 
    17561758        # XXX - at some point the oubound/send access check will be removed 
     
    17921794        ') 
    17931795 
     1796        dontaudit $1 netlabel_peer_t:peer recv; 
    17941797        dontaudit $1 netlabel_peer_t:tcp_socket recvfrom; 
    17951798') 
     
    18081811interface(`corenet_dontaudit_tcp_recvfrom_unlabeled',` 
    18091812        kernel_dontaudit_tcp_recvfrom_unlabeled($1) 
     1813        kernel_dontaudit_recvfrom_unlabeled_peer($1) 
    18101814 
    18111815        # XXX - at some point the oubound/send access check will be removed 
     
    18451849        ') 
    18461850 
     1851        allow $1 netlabel_peer_t:peer recv; 
    18471852        allow $1 netlabel_peer_t:udp_socket recvfrom; 
    18481853') 
     
    18601865interface(`corenet_udp_recvfrom_unlabeled',` 
    18611866        kernel_udp_recvfrom_unlabeled($1) 
     1867        kernel_recvfrom_unlabeled_peer($1) 
    18621868 
    18631869        # XXX - at some point the oubound/send access check will be removed 
     
    18991905        ') 
    19001906 
     1907        dontaudit $1 netlabel_peer_t:peer recv; 
    19011908        dontaudit $1 netlabel_peer_t:udp_socket recvfrom; 
    19021909') 
     
    19151922interface(`corenet_dontaudit_udp_recvfrom_unlabeled',` 
    19161923        kernel_dontaudit_udp_recvfrom_unlabeled($1) 
     1924        kernel_dontaudit_recvfrom_unlabeled_peer($1) 
    19171925 
    19181926        # XXX - at some point the oubound/send access check will be removed 
     
    19521960        ') 
    19531961 
     1962        allow $1 netlabel_peer_t:peer recv; 
    19541963        allow $1 netlabel_peer_t:rawip_socket recvfrom; 
    19551964') 
     
    19671976interface(`corenet_raw_recvfrom_unlabeled',` 
    19681977        kernel_raw_recvfrom_unlabeled($1) 
     1978        kernel_recvfrom_unlabeled_peer($1) 
    19691979 
    19701980        # XXX - at some point the oubound/send access check will be removed 
     
    20062016        ') 
    20072017 
     2018        dontaudit $1 netlabel_peer_t:peer recv; 
    20082019        dontaudit $1 netlabel_peer_t:rawip_socket recvfrom; 
    20092020') 
     
    20222033interface(`corenet_dontaudit_raw_recvfrom_unlabeled',` 
    20232034        kernel_dontaudit_raw_recvfrom_unlabeled($1) 
     2035        kernel_dontaudit_recvfrom_unlabeled_peer($1) 
    20242036 
    20252037        # XXX - at some point the oubound/send access check will be removed 
     
    20432055        kernel_udp_recvfrom_unlabeled($1) 
    20442056        kernel_raw_recvfrom_unlabeled($1) 
     2057        kernel_recvfrom_unlabeled_peer($1) 
    20452058 
    20462059        # XXX - at some point the oubound/send access check will be removed 
     
    20652078        ') 
    20662079 
     2080        allow $1 netlabel_peer_t:peer recv; 
    20672081        allow $1 netlabel_peer_t:{ tcp_socket udp_socket rawip_socket } recvfrom; 
    20682082') 
     
    20822096        kernel_dontaudit_udp_recvfrom_unlabeled($1) 
    20832097        kernel_dontaudit_raw_recvfrom_unlabeled($1) 
     2098        kernel_dontaudit_recvfrom_unlabeled_peer($1) 
    20842099 
    20852100        # XXX - at some point the oubound/send access check will be removed 
     
    21052120        ') 
    21062121 
     2122        dontaudit $1 netlabel_peer_t:peer recv; 
    21072123        dontaudit $1 netlabel_peer_t:{ tcp_socket udp_socket rawip_socket } recvfrom; 
    21082124') 
     
    21362152        allow $2 $1:{ association tcp_socket } recvfrom; 
    21372153 
    2138         # Netlabel (CIPSO)-based labeled networking 
    2139         # currently only supports MLS portion of label 
     2154        allow $1 $2:peer recv; 
     2155        allow $2 $1:peer recv; 
     2156 
     2157        # allow receiving packets from MLS-only peers using NetLabel 
    21402158        corenet_tcp_recvfrom_netlabel($1) 
    21412159        corenet_tcp_recvfrom_netlabel($2) 
     
    21612179        allow $1 $2:{ association udp_socket } recvfrom; 
    21622180 
    2163         # Netlabel (CIPSO)-based labeled networking 
    2164         # currently only supports MLS portion of label 
     2181        allow $1 $2:peer recv; 
     2182 
     2183        # allow receiving packets from MLS-only peers using NetLabel 
    21652184        corenet_udp_recvfrom_netlabel($1) 
    21662185') 
     
    21852204        allow $1 $2:{ association rawip_socket } recvfrom; 
    21862205 
    2187         # Netlabel (CIPSO)-based labeled networking 
    2188         # currently only supports MLS portion of label 
     2206        allow $1 $2:peer recv; 
     2207 
     2208        # allow receiving packets from MLS-only peers using NetLabel 
    21892209        corenet_raw_recvfrom_netlabel($1) 
    21902210') 

  • branches/rbacsep/policy/modules/kernel/corenetwork.if.m4

    r2001 r2705  
    2929        ') 
    3030 
    31         allow dollarsone $1_$2:netif { tcp_send tcp_recv }; 
     31        allow dollarsone $1_$2:netif { tcp_send tcp_recv egress ingress }; 
    3232') 
    3333 
     
    4848        ') 
    4949 
    50         allow dollarsone $1_$2:netif udp_send
     50        allow dollarsone $1_$2:netif { udp_send egress }
    5151') 
    5252 
     
    6767        ') 
    6868 
    69         allow dollarsone $1_$2:netif udp_recv
     69        allow dollarsone $1_$2:netif { udp_recv ingress }
    7070') 
    7171 
     
    102102        ') 
    103103 
    104         allow dollarsone $1_$2:netif rawip_send
     104        allow dollarsone $1_$2:netif { rawip_send egress }
    105105') 
    106106 
     
    121121        ') 
    122122 
    123         allow dollarsone $1_$2:netif rawip_recv
     123        allow dollarsone $1_$2:netif { rawip_recv ingress }
    124124') 
    125125 
     
    164164        ') 
    165165 
    166         allow dollarsone $1_$2:node { tcp_send tcp_recv }; 
     166        allow dollarsone $1_$2:node { tcp_send tcp_recv sendto recvfrom }; 
    167167') 
    168168 
     
    183183        ') 
    184184 
    185         allow dollarsone $1_$2:node udp_send
     185        allow dollarsone $1_$2:node { udp_send sendto }
    186186') 
    187187 
     
    202202        ') 
    203203 
    204         allow dollarsone $1_$2:node udp_recv
     204        allow dollarsone $1_$2:node { udp_recv recvfrom }
    205205') 
    206206 
     
    237237        ') 
    238238 
    239         allow dollarsone $1_$2:node rawip_send
     239        allow dollarsone $1_$2:node { rawip_send sendto }
    240240') 
    241241 
     
    256256        ') 
    257257 
    258         allow dollarsone $1_$2:node rawip_recv
     258        allow dollarsone $1_$2:node { rawip_recv recvfrom }
    259259') 
    260260 

  • branches/rbacsep/policy/modules/kernel/corenetwork.te.in

    r2582 r2705  
    11 
    2 policy_module(corenetwork,1.2.15
     2policy_module(corenetwork,1.2.16
    33 
    44######################################## 

  • branches/rbacsep/policy/modules/kernel/domain.if

    r2531 r2705  
    12201220##      </summary> 
    12211221## </param> 
     1222## <param name="target_domain"> 
     1223##      <summary> 
     1224##      The type of the new process. 
     1225##      </summary> 
     1226## </param> 
    12221227# 
    12231228# cjp: added for userhelper 

  • branches/rbacsep/policy/modules/kernel/files.if

    r2478 r2705  
    42094209interface(`files_manage_generic_locks',` 
    42104210        gen_require(` 
    4211                 type var_lock_t; 
     4211                type var_t, var_lock_t; 
    42124212        ') 
    42134213 
     
    42304230        gen_require(` 
    42314231                attribute lockfile; 
     4232                type var_t; 
    42324233        ') 
    42334234 
     
    46604661##      </summary> 
    46614662## </param> 
     4663## <param name="file"> 
     4664##      <summary> 
     4665##      Type to which the created node will be transitioned. 
     4666##      </summary> 
     4667## </param> 
     4668## <param name="class"> 
     4669##      <summary> 
     4670##      Object class(es) (single or set including {}) for which this