<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">Hi,<br><br>I'm still having problems compiling the local.te module. The problem i'm facing seems to be different from Hal's:<br><br>--------------------<br>local.te:11:ERROR 'permission nlsms_relay is not defined for class netlink_audit_socket' at token '<br>;' on line 80809:<br>        allow local_login_t self:netlink_audit_socket { { create { ioctl read getattr write setattr<br> append bind connect getopt setopt shutdown } } nlmsg_read nlsms_relay };<br>#line 11<br>/usr/bin/checkmodule:  error(s) encountered while parsing configuration<br>make: *** [tmp/local.mod] Error 1<br>---------------------<br><br>My local.te file looks like
 this:<br>-------------<br>policy_module(local,1.0)<br><br>require {<br><br>        type local_login_t;<br>        class netlink_audit_socket { append bind connect shutdown ioctl getattr setattr shutdown ge<br>topt setopt write nlmsg_relay nlmsg_read create read };<br>}<br><br><br>logging_send_audit_msg(local_login_t)<br>logging_set_loginuid(local_login_t)<br><br>-------------<br><br>Seems like the problem is with logging_set_loginuid macro. I'm not sure how to solve this problem though.<br><br>BTW here are some details on my environment:<br><br>1. I'm using the stock policy for FC7 2.6.4-8<br>2. I did the compilation while running in targeted mode (will it affect?)<br>3. The macro logging_set_loginuid is defined in the file policy-20070501.patch<br><br>Here is an extract of how logging_set_loginuid is defined in the patch :<br><br>+########################################<br>+##
 <summary><br>+##     Set login uid<br>+## </summary><br>+## <param name="domain"><br>+##     <summary><br>+##     Domain allowed access.<br>+##     </summary><br>+## </param><br>+#<br>+interface(`logging_set_loginuid',`<br>+       gen_require(`<br>+               attribute can_set_loginuid;<br>+               attribute can_send_audit_msg;<br>+       ')<br>+<br>+       typeattribute $1 can_set_loginuid, can_send_audit_msg;<br>+<br>+       allow $1 self:capability audit_control;<br>+       allow $1 self:netlink_audit_socket { create_socket_perms nlmsg_read
 nlsms_relay };<br>+')<br><br>Hope it helps in solving the problem...<br><br>Thanks,<br>Louis<br><br><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">----- Original Message ----<br>From: shintaro_fujiwara <shin216@xf7.so-net.ne.jp><br>To: Hal <hal_bg@yahoo.com>; fedora-selinux-list@redhat.com; cpebenito@tresys.com<br>Sent: Wednesday, August 8, 2007 5:55:49 PM<br>Subject: Re: Strict policy on FC6 and F7<br><br><div>I think F7 strict policy is broken.<br>Let's wait for a while until SELinux guys fix it.<br>I decided to play with FC6 this time.<br><br><br>2007-08-08 (水) の 14:43 -0700 に Hal さんは書きました:<br>> Authentication failed again:(<br>> but meanwhile I have checked firefox on strict policy on FC7 it does not work.<br>> <br>> --- shintaro_fujiwara <shin216@xf7.so-net.ne.jp> wrote:<br>> <br>> > 2007-08-08 (æ°´) ã® 13:32 -0700 ã« Hal
 ã•ã‚“ã¯æ›¸ãã¾ã—ãŸ:<br>> > > Well<br>> > > I manged to compile the module, but<br>> > > it does not work for me. <br>> > > Compiled,loaded,set enforcing and: "authentication failed" again.<br>> > > <br>> > > I do not know if I am stupid, but I can not get a long with this Selinux...<br>> > <br>> > > <br>> > > Does this nodule work for you guys????<br>> > > <br>> > > hal<br>> > > <br>> > > --- "Christopher J. PeBenito" <cpebenito@tresys.com> wrote:<br>> > > <br>> > > > On Wed, 2007-08-08 at 12:39 -0700, Hal wrote:<br>> > > > > I have tryed with<br>> > > > > logging_send_audit_msgs(local_login_t)<br>> > > > > <br>> > > > > But still:<br>> > > > > [root@localhost hal]# make -f /usr/share/selinux/devel/Makefile<br>> >
 local.pp<br>> > > > > Compiling strict local module<br>> > > > > /usr/bin/checkmodule:  loading policy configuration from tmp/local.tmp<br>> > > > > local.te:9:ERROR 'unknown class capability used in rule' at token ';'<br>> > on<br>> > > > line<br>> > > > > 81105:<br>> > > > > #line 9<br>> > > > >         allow local_login_t self:capability audit_write;<br>> > Because we did not write <br>> > <br>> > class capability { audit_write };<br>> > <br>> > in require brace.<br>> > <br>> > write it and try again.<br>> > Did you make it?<br>> > <br>> > <br>> > As a matter of fact, I have another problem on strict policy.<br>> > I ended up breaking F7 altogether eliminating libselinux with --nodeps.<br>> > Now I'm trying to upgrade
 FC6 to F7.<br>> > You can upgrade FC6 to F7, if you are tired of your process on F7.<br>> > Do not stop trying strict policy.Never surrender.<br>> > It's rewarding, and SELinux guys will guide you to the right place.<br>> > <br>> > <br>> > > > > /usr/bin/checkmodule:  error(s) encountered while parsing configuration<br>> > > > > make: *** [tmp/local.mod] Error 1<br>> > > > > <br>> > > > > I really have no idea what all this means.<br>> > > > > there is nowhere "allow" in local.te. if it is in this macros at the<br>> > end...<br>> > > > > Do I need to install the policy source and edit it?<br>> > > > <br>> > > > It is in the interface.  You need to change this:<br>> > > > <br>> > > > > > > module local 1.0;<br>> > > > <br>> > > >
 to this:<br>> > > > <br>> > > > policy_module(local,1.0)<br>> > > > <br>> > > > It will automatically require all of the kernel object classes.<br>> > > > <br>> > > > -- <br>> > > > Chris PeBenito<br>> > > > Tresys Technology, LLC<br>> > > > (410) 290-1411 x150<br>> > > > <br>> > > > <br>> > > <br>> > > <br>> > > <br>> > >      <br>> ><br>> ____________________________________________________________________________________<br>> > > Luggage? GPS? Comic books? <br>> > > Check out fitting gifts for grads at Yahoo! Search<br>> > > <a target="_blank" href="http://search.yahoo.com/search?fr=oni_on_mail&p=graduation+gifts&cs=bz">http://search.yahoo.com/search?fr=oni_on_mail&p=graduation+gifts&cs=bz</a><br>>
 > > <br>> > > --<br>> > > fedora-selinux-list mailing list<br>> > > fedora-selinux-list@redhat.com<br>> > > <a target="_blank" href="https://www.redhat.com/mailman/listinfo/fedora-selinux-list">https://www.redhat.com/mailman/listinfo/fedora-selinux-list</a><br>> > <br>> > <br>> <br>> <br>> <br>>        <br>> ____________________________________________________________________________________<br>> Sick sense of humor? Visit Yahoo! TV's <br>> Comedy with an Edge to see what's on, when. <br>> <a target="_blank" href="http://tv.yahoo.com/collections/222">http://tv.yahoo.com/collections/222</a><br><br>--<br>fedora-selinux-list mailing list<br>fedora-selinux-list@redhat.com<br><a target="_blank"
 href="https://www.redhat.com/mailman/listinfo/fedora-selinux-list">https://www.redhat.com/mailman/listinfo/fedora-selinux-list</a><br></div></div><br></div></div><br>Send instant messages to your online friends http://uk.messenger.yahoo.com </body></html>