<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">Hi Dan,<br><br>I'm using the stock policy for FC7 2.6.4-8, not the latest policy. I'm not too sure where to go and how to get the latest policy version. Do i take the latest policy version and remake the source RPM? Or are there pre-packaged rpms that I can use to upgrade?<br><br>You didn't see this problem in RHEL 5? Do i need the local.te module if I use the "stock" RHEL 5? I tried switching to strict policy in RHEL 5 and cannot login with root. But I can log in as a normal user. Is it "normal" that this restriction be placed on root? Is the local.te trying to enable root login?<br><br>Thanks,<br>Louis<br><br><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">----- Original Message
 ----<br>From: Daniel J Walsh <dwalsh@redhat.com><br>To: Louis Lam <lshoujun@yahoo.com><br>Cc: shintaro_fujiwara <shin216@xf7.so-net.ne.jp>; Hal <hal_bg@yahoo.com>; fedora-selinux-list@redhat.com; cpebenito@tresys.com<br>Sent: Friday, August 10, 2007 11:17:42 PM<br>Subject: Re: Strict policy on FC6 and F7<br><br><div>Louis Lam wrote:<br>> Hi,<br>><br>> I'm still having problems compiling the local.te module. The problem <br>> i'm facing seems to be different from Hal's:<br>><br>> --------------------<br>> local.te:11:ERROR 'permission nlsms_relay is not defined for class <br>> netlink_audit_socket' at token '<br>> ;' on line 80809:<br>>         allow local_login_t self:netlink_audit_socket { { create { <br>> ioctl read getattr write setattr<br>>  append bind connect getopt setopt shutdown } } nlmsg_read nlsms_relay };<br>> #line 11<br>>
 /usr/bin/checkmodule:  error(s) encountered while parsing configuration<br>> make: *** [tmp/local.mod] Error 1<br>> ---------------------<br>><br>> My local.te file looks like this:<br>> -------------<br>> policy_module(local,1.0)<br>><br>> require {<br>><br>>         type local_login_t;<br>>         class netlink_audit_socket { append bind connect shutdown <br>> ioctl getattr setattr shutdown ge<br>> topt setopt write nlmsg_relay nlmsg_read create read };<br>> }<br>><br>><br>> logging_send_audit_msg(local_login_t)<br>> logging_set_loginuid(local_login_t)<br>><br>> -------------<br>><br>> Seems like the problem is with logging_set_loginuid macro. I'm not <br>> sure how to solve this problem though.<br>><br>> BTW here are some details on my environment:<br>><br>> 1. I'm using the stock
 policy for FC7 2.6.4-8<br>> 2. I did the compilation while running in targeted mode (will it affect?)<br>> 3. The macro logging_set_loginuid is defined in the file <br>> policy-20070501.patch<br>><br>> Here is an extract of how logging_set_loginuid is defined in the patch :<br>><br>> +########################################<br>> +## <summary><br>> +##     Set login uid<br>> +## </summary><br>> +## <param name="domain"><br>> +##     <summary><br>> +##     Domain allowed access.<br>> +##     </summary><br>> +## </param><br>> +#<br>> +interface(`logging_set_loginuid',`<br>> +       gen_require(`<br>> +               attribute can_set_loginuid;<br>>
 +               attribute can_send_audit_msg;<br>> +       ')<br>> +<br>> +       typeattribute $1 can_set_loginuid, can_send_audit_msg;<br>> +<br>> +       allow $1 self:capability audit_control;<br>> +       allow $1 self:netlink_audit_socket { create_socket_perms <br>> nlmsg_read nlsms_relay };<br>> +')<br>><br>> Hope it helps in solving the problem...<br>><br>> Thanks,<br>> Louis<br>I am not seeing this in RHEL5, FC6, F7 or F8.  So are you sure you are <br>using the latest policy?<br></div></div><br></div></div><br>Send instant messages to your online friends http://uk.messenger.yahoo.com </body></html>