<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">Hi, <br><br>Thanks for the reply.<br><br>My conclusion is that not I'm not sure where to place the domain_auto_trans() statement. If I can't place it in the vmware.if file(since it will not be read during module compilation ) where can I put this statement? All i need to do now is to make the vmware executable run in its own domain e.g. vmware_t. But it seems more difficult than I thought. <br><br>Can you point me to resources to how to develop modules? Can someone help me with this problem?<br><br>Thanks & Regards,<br>Louis<br><br><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">----- Original Message ----<br>From: Ken YANG <spng.yang@gmail.com><br>To: Louis Lam
 <lshoujun@yahoo.com><br>Cc: Daniel J Walsh <dwalsh@redhat.com>; fedora-selinux-list@redhat.com<br>Sent: Monday, July 30, 2007 6:53:17 AM<br>Subject: Re: Containing vmware player 2.0.0 with SELINUX<br><br><div>Louis Lam wrote:<br>> Hi,<br>> <br>> I think i'm having a policy compilation problem here<br>> <br>> I've moved the domain_auto_trans($1_t, vmware_exec_t, $1_vmware_t) statement to vmware.if. I was following the domain_auto_trans rules for other apps such as mozilla. The syntax error problem went away. <br>> <br>> But the problem is that the domain transition didn't take place. My vmplayer is still running in unconfined state.<br>> <br>> I'm doing compilation of the vmware.pp module using make -f /usr/share/selinux/devel/Makefile. I've tried to purposely introduce errors into vmware.if to see if the compilation is effective:<br>> <br>> e.g. domain_auto_trans($2, $2, $1_t, vmware_exec_t,
 $1_vmware_t)<br>> <br>> But the make process didn't detect any errors and the compilation still went on. I did a diff between the vmware.pp at the /etc/selinux/targeted/modules/active/modules/vmware.pp and the development directory (where I do all my compilation), but there are no differences.<br>> <br>> Does it mean if the vmware.if file is modified it will not affect the make? <br><br>as i infer (i'm not sure):<br><br>the interface will not be checked, unless someone invoke it, because if<br>there are not invokes, the parameter can not be determined.<br><br>when you build vmware module, you will not use your own interface in<br>own module, so build process will not detect error.<br><br><br><br>> <br>> How do you ensure that the changes at vmware.if  effective? (well at least cause some compilation errors?)<br>> <br>> <br>> <br>> Thanks,<br>> Louis<br>> <br>> <br>> <br>> <br>> <br>> -----
 Original Message ----<br>> From: Ken YANG <spng.yang@gmail.com><br>> To: Louis Lam <lshoujun@yahoo.com><br>> Cc: Daniel J Walsh <dwalsh@redhat.com>; fedora-selinux-list@redhat.com<br>> Sent: Saturday, July 28, 2007 5:28:25 PM<br>> Subject: Re: Containing vmware player 2.0.0 with SELINUX<br>> <br>> <br>> Louis Lam wrote:<br>>> My mistakes, apologies for the confusion, under part 2, I was trying to do domain_auto_trans instead of doman_entry_file, so...<br>>><br>>> 2. Created a domain transition so that the vmware user programs e.g.<br>>> /usr/lib/vmplayer script, /usr/lib/vmware/bin/vmplayer that are<br>>> labelleled system_u:object_r:vmware_exec_t will transit to<br>>> system_u:object_r:vmware_t when executed. I put it also in vmware.te:<br>>><br>>> domain_auto_trans($1_t, vmware_exec_t, $1_vmware_t)<br>>><br>>> but<br>>>  on making the
 vmware.pp module I get this warning and error:<br>>><br>>> 'syntax error' at token '1' on line 81143:<br>>> #line 13<br>>>     allow $1_t vmware_exec_t: file {getattr read execute};<br>> <br>> this rule is generated by domain_auto_trans, so i think the<br>> syntax error should be caused by other rules.<br>> <br>> you may check other rules in your policy.<br>> <br>>> Thanks in advance,<br>>> Louis<br>>><br>>><br>>> ----- Original Message ----<br>>> From: Louis Lam <lshoujun@yahoo.com><br>>> To: Daniel J Walsh <dwalsh@redhat.com><br>>> Cc: fedora-selinux-list@redhat.com<br>>> Sent: Friday, July 27, 2007 5:05:05 AM<br>>> Subject: Re: Containing vmware player 2.0.0 with SELINUX<br>>><br>>> Thanks Daniel for the information, hi everyone<br>>><br>>> I've tried to make the following
 changes:<br>>><br>>> 1. Defined the vmware_t type in vmware.te:<br>>> type vmware_t;<br>>><br>>> I need to do this since I'm trying to let the vmware user program run under vmware_t domain but this is not defined. In terms of overall code compliance is it correct to define here? or should be at the vmware.if?<br>> <br>> type definition should be in vmware.te<br>> <br>> Send instant messages to your online friends <a target="_blank" href="http://uk.messenger.yahoo.com">http://uk.messenger.yahoo.com</a> <br><br></div></div><br></div></div><br>Send instant messages to your online friends http://uk.messenger.yahoo.com </body></html>