rpms/selinux-policy/devel policy-20070703.patch, 1.84, 1.85 selinux-policy.spec, 1.542, 1.543
Daniel J Walsh (dwalsh)
fedora-extras-commits at redhat.com
Tue Oct 9 20:53:40 UTC 2007
- Previous message (by thread): rpms/uisp/F-7 uisp.spec, NONE, 1.1 uisp_Werror.patch, NONE, 1.1 sources, 1.1, 1.2
- Next message (by thread): rpms/selinux-policy/F-7 policy-20070501.patch, 1.63, 1.64 selinux-policy.spec, 1.498, 1.499
- Messages sorted by:
[ date ]
[ thread ]
[ subject ]
[ author ]
Author: dwalsh
Update of /cvs/extras/rpms/selinux-policy/devel
In directory cvs-int.fedora.redhat.com:/tmp/cvs-serv11916
Modified Files:
policy-20070703.patch selinux-policy.spec
Log Message:
* Tue Oct 9 2007 Dan Walsh <dwalsh at redhat.com> 3.0.8-20
- Fixes for consolekit and startx sessions
policy-20070703.patch:
Index: policy-20070703.patch
===================================================================
RCS file: /cvs/extras/rpms/selinux-policy/devel/policy-20070703.patch,v
retrieving revision 1.84
retrieving revision 1.85
diff -u -r1.84 -r1.85
--- policy-20070703.patch 9 Oct 2007 14:51:25 -0000 1.84
+++ policy-20070703.patch 9 Oct 2007 20:53:38 -0000 1.85
@@ -266,6 +266,455 @@
.EX
httpd_sys_script_rw_t
.EE
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ftpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8
+--- nsaserefpolicy/man/ru/man8/ftpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/ftpd_selinux.8 2007-09-07 05:00:11.000000000 -0400
+@@ -0,0 +1,57 @@
++.TH "ftpd_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "ftpd Selinux Policy documentation"
++.SH "ÐÐÐÐÐÐÐÐ"
++ftpd_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° ftp
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux обеÑпеÑÐ¸Ð²Ð°ÐµÑ Ð·Ð°ÑиÑÑ ÑеÑвеÑа ftpd пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐТÐÐСТ ФÐÐÐÐÐ
++SELinux ÑÑебÑÐµÑ Ð½Ð°Ð»Ð¸ÑÐ¸Ñ Ñ Ñайлов ÑаÑÑиÑеннÑÑ
аÑÑибÑÑов, опÑеделÑÑÑиÑ
Ñип Ñайла.
++ÐолиÑика ÑпÑавлÑÐµÑ Ð²Ð¸Ð´Ð¾Ð¼ доÑÑÑпа демона к ÑÑим Ñайлам. ÐÑли Ð²Ñ Ñ
оÑиÑе оÑганизоваÑÑ Ð°Ð½Ð¾Ð½Ð¸Ð¼Ð½Ñй
++доÑÑÑп к Ñайлам, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð¿ÑиÑвоиÑÑ ÑÑим Ñайлам и диÑекÑоÑиÑм конÑекÑÑ public_content_t.
++Таким обÑазом, еÑли Ð²Ñ ÑоздаеÑе ÑпеÑиалÑнÑÑ Ð´Ð¸ÑекÑоÑÐ¸Ñ /var/ftp, Ñо вам необÑ
одимо ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ð´Ð»Ñ ÑÑой диÑекÑоÑии пÑи помоÑи ÑÑилиÑÑ chcon.
++.TP
++chcon -R -t public_content_t /var/ftp
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе задаÑÑ Ð´Ð¸ÑекÑоÑиÑ, в коÑоÑÑÑ Ð²Ñ ÑобиÑаеÑеÑÑ Ð·Ð°Ð³ÑÑжаÑÑ ÑайлÑ, Ñо Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ
++ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ ftpd_anon_rw_t. Таким обÑазом, еÑли Ð²Ñ ÑоздаеÑе ÑпеÑиалÑнÑÑ Ð´Ð¸ÑекÑоÑÐ¸Ñ /var/ftp/incoming, Ñо вам необÑ
одимо ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ð´Ð»Ñ ÑÑой диÑекÑоÑии пÑи помоÑи ÑÑилиÑÑ chcon.
++.TP
++chcon -t public_content_rw_t /var/ftp/incoming
++.TP
++ÐÑ Ñакже Ð´Ð¾Ð»Ð¶Ð½Ñ Ð²ÐºÐ»ÑÑиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ allow_ftpd_anon_write.
++.TP
++setsebool -P allow_ftpd_anon_write=1
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе ÑделаÑÑ ÑÑи Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¿Ð¾ÑÑоÑннÑми, инÑми Ñловами, ÑÑÐ¾Ð±Ñ Ð´Ð°Ð½Ð½Ñй конÑекÑÑ ÑоÑ
ÑанÑлÑÑ
++пÑи обновлении конÑекÑÑов, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð´Ð¾Ð±Ð°Ð²Ð¸ÑÑ Ð·Ð°Ð¿Ð¸Ñи в Ñайл file_contexts.local.
++.TP
++/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
++.br
++/var/ftp(/.*)? system_u:object_r:public_content_t
++/var/ftp/incoming(/.*)? system_u:object_r:public_content_rw_t
++
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++ÐолиÑика SELinux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° ftp наÑÑÑоена иÑÑ
Ð¾Ð´Ñ Ð¸Ð· пÑинÑипа наименÑÑиÑ
пÑивелегий. Таким
++обÑазом, по ÑмолÑÐ°Ð½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñика SELinux не позволÑÐµÑ Ð¿Ð¾Ð»ÑзоваÑелÑм заÑ
одиÑÑ Ð½Ð° ÑеÑÐ²ÐµÑ Ð¸
++ÑиÑаÑÑ ÑодеÑжимое иÑ
домаÑниÑ
диÑекÑоÑий.
++.br
++ÐÑли Ð²Ñ Ð½Ð°ÑÑÑаиваеÑе даннÑÑ Ð¼Ð°ÑÐ¸Ð½Ñ ÐºÐ°Ðº ftpd-ÑеÑÐ²ÐµÑ Ð¸ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ Ð¿Ð¾Ð»ÑзоваÑели могли полÑÑаÑÑ
++доÑÑÑп к Ñвоим домаÑним диÑекÑоÑиÑм, Ñо вам необÑ
одимо ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ ftp_home_dir.
++.TP
++setsebool -P ftp_home_dir 1
++.TP
++ftpd Ð¼Ð¾Ð¶ÐµÑ ÑÑнкÑиониÑоваÑÑ ÐºÐ°Ðº ÑамоÑÑоÑÑелÑнÑй демон, а Ñакже как ÑаÑÑÑ Ð´Ð¾Ð¼ÐµÐ½Ð° xinetd. ÐÑли вÑ
++Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ftpd ÑабоÑал как демон, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ ftpd_is_daemon.
++.TP
++setsebool -P ftpd_is_daemon 1
++.br
++service vsftpd restart
++.TP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), ftpd(8), chcon(1), setsebool(8)
++
++
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/httpd_selinux.8 serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8
+--- nsaserefpolicy/man/ru/man8/httpd_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/httpd_selinux.8 2007-09-26 04:12:15.000000000 -0400
+@@ -0,0 +1,137 @@
++.TH "httpd_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "httpd Selinux Policy documentation"
++.de EX
++.nf
++.ft CW
++..
++.de EE
++.ft R
++.fi
++..
++.SH "ÐÐÐÐÐÐÐÐ"
++httpd_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° httpd
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux обеÑпеÑÐ¸Ð²Ð°ÐµÑ Ð·Ð°ÑиÑÑ ÑеÑвеÑа httpd пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐТÐÐСТ ФÐÐÐÐÐ
++SELinux ÑÑебÑÐµÑ Ð½Ð°Ð»Ð¸ÑÐ¸Ñ Ñ Ñайлов ÑаÑÑиÑеннÑÑ
аÑÑибÑÑов, опÑеделÑÑÑиÑ
Ñип Ñайла.
++ÐолиÑика ÑпÑавлÑÐµÑ Ð²Ð¸Ð´Ð¾Ð¼ доÑÑÑпа демона к ÑÑим Ñайлам.
++ÐолиÑика SELinux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° httpd позволÑÐµÑ Ð¿Ð¾Ð»ÑзоваÑелÑм наÑÑÑоиÑÑ web-ÑлÑÐ¶Ð±Ñ Ð¼Ð°ÐºÑималÑно безопаÑнÑм меÑодом Ñ Ð²ÑÑокой ÑÑепенÑÑ Ð³Ð¸Ð±ÐºÐ¾ÑÑи.
++.PP
++ÐÐ»Ñ httpd опÑÐµÐ´ÐµÐ»ÐµÐ½Ñ ÑледÑÑÑие конÑекÑÑÑ Ñайлов:
++.EX
++httpd_sys_content_t
++.EE
++- УÑÑановиÑе конÑекÑÑ httpd_sys_content_t Ð´Ð»Ñ ÑодеÑжимого, коÑоÑое должно бÑÑÑ Ð´Ð¾ÑÑÑпно Ð´Ð»Ñ Ð²ÑеÑ
ÑкÑипÑов httpd и Ð´Ð»Ñ Ñамого демона.
++.EX
++httpd_sys_script_exec_t
++.EE
++- УÑÑановиÑе конÑекÑÑ httpd_sys_script_exec_t Ð´Ð»Ñ cgi-ÑкÑипÑов, ÑÑÐ¾Ð±Ñ ÑазÑеÑиÑÑ Ð¸Ð¼ доÑÑÑп ко вÑем sys-Ñипам.
++.EX
++httpd_sys_script_ro_t
++.EE
++- УÑÑановиÑе на ÑÐ°Ð¹Ð»Ñ ÐºÐ¾Ð½ÑекÑÑ httpd_sys_script_ro_t еÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÑкÑипÑÑ httpd_sys_script_exec_t могли ÑиÑаÑÑ Ð´Ð°Ð½Ð½Ñе, и пÑи ÑÑом нÑжно запÑеÑиÑÑ Ð´Ð¾ÑÑÑп дÑÑгим не-sys ÑкÑипÑам.
++.EX
++httpd_sys_script_rw_t
++.EE
++- УÑÑановиÑе на ÑÐ°Ð¹Ð»Ñ ÐºÐ¾Ð½ÑекÑÑ httpd_sys_script_rw_t еÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÑкÑипÑÑ httpd_sys_script_exec_t могли ÑиÑаÑÑ Ð¸ пиÑаÑÑ Ð´Ð°Ð½Ð½Ñе, и пÑи ÑÑом нÑжно запÑеÑиÑÑ Ð´Ð¾ÑÑÑп дÑÑгим не-sys ÑкÑипÑам.
++.EX
++httpd_sys_script_ra_t
++.EE
++- УÑÑановиÑе на ÑÐ°Ð¹Ð»Ñ ÐºÐ¾Ð½ÑекÑÑ httpd_sys_script_ra_t еÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÑкÑипÑÑ httpd_sys_script_exec_t могли ÑиÑаÑÑ Ð¸ добавлÑÑÑ Ð´Ð°Ð½Ð½Ñе, и пÑи ÑÑом нÑжно запÑеÑиÑÑ Ð´Ð¾ÑÑÑп дÑÑгим не-sys ÑкÑипÑам.
++.EX
++httpd_unconfined_script_exec_t
++.EE
++- УÑÑановиÑе на cgi-ÑкÑипÑÑ ÐºÐ¾Ð½ÑекÑÑ httpd_unconfined_script_exec_t еÑли Ð²Ñ Ñ
оÑиÑе ÑазÑеÑиÑÑ
++им иÑполнÑÑÑÑÑ Ð±ÐµÐ· какой-либо заÑиÑÑ SELinux. Такой ÑпоÑоб должен иÑполÑзоваÑÑÑÑ ÑолÑко длÑ
++ÑкÑипÑов Ñ Ð¾ÑÐµÐ½Ñ ÐºÐ¾Ð¼Ð¿Ð»ÐµÐºÑнÑми ÑÑебованиÑми, и ÑолÑко в ÑлÑÑае, еÑли вÑе оÑÑалÑнÑе ваÑианÑÑ Ð½Ð°ÑÑÑойки не дали ÑезÑлÑÑаÑа. ÐÑÑÑе иÑполÑзоваÑÑ ÑкÑипÑÑ Ñ ÐºÐ¾Ð½ÑекÑÑом httpd_unconfined_script_exec_t, Ñем вÑклÑÑаÑÑ Ð·Ð°ÑиÑÑ SELinux Ð´Ð»Ñ httpd.
++
++.SH ÐÐÐÐЧÐÐÐÐ
++ÐмеÑÑе Ñ Ð½ÐµÐºÐ¾ÑоÑÑми полиÑиками, Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе опÑеделиÑÑ Ð´Ð¾Ð¿Ð¾Ð»Ð½Ð¸ÑелÑнÑе конÑекÑÑÑ Ñайлов, оÑнованнÑе
++на ÑолÑÑ
, ÑакиÑ
как user или staff. ÐÐ¾Ð¶ÐµÑ Ð±ÑÑÑ Ð¾Ð¿Ñеделен конÑекÑÑ httpd_user_script_exec_t, коÑоÑÑй бÑÐ´ÐµÑ Ð¸Ð¼ÐµÑÑ Ð´Ð¾ÑÑÑп ÑолÑко к "полÑзоваÑелÑÑким" конÑекÑÑам.
++
++.SH СÐÐÐÐСТÐÐÐ ÐÐÐÐÐÐÐРФÐÐÐÐÐÐ
++ÐÑли Ð²Ñ Ñ
оÑиÑе оÑганизоваÑÑ Ð¼ÐµÐ¶Ð´Ñ Ð½ÐµÑколÑкими доменами (Apache, FTP, rsync, Samba) ÑовмеÑÑнÑй
++доÑÑÑп к Ñайлам, Ñо Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ñайлов в public_content_t и public_content_rw_t.
++ÐаннÑй конÑекÑÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ Ð»ÑÐ±Ð¾Ð¼Ñ Ð¸Ð· вÑÑе пеÑеÑиÑленнÑÑ
демонов ÑиÑаÑÑ ÑодеÑжимое.
++ÐÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÐºÐ¾Ð½ÐºÑеÑнÑй домен имел пÑаво запиÑи в домен public_content_rw_t, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ
++ÑÑÑановиÑÑ ÑооÑвеÑÑÑвÑÑÑий пеÑеклÑÑаÑÐµÐ»Ñ allow_ÐÐÐÐÐ_anon_write. Таким обÑазом, Ð´Ð»Ñ httpd Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð²ÑполниÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ:
++
++.EX
++setsebool -P allow_httpd_anon_write=1
++.EE
++
++или
++
++.EX
++setsebool -P allow_httpd_sys_script_anon_write=1
++.EE
++
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++ÐолиÑика SELinux наÑÑÑоена иÑÑ
Ð¾Ð´Ñ Ð¸Ð· пÑинÑипа наименÑÑиÑ
пÑивилегий. Таким обÑазом,
++по ÑмолÑÐ°Ð½Ð¸Ñ SELinux пÑепÑÑÑÑвÑÐµÑ ÑабоÑе некоÑоÑÑÑ
http-ÑкÑипÑов. ÐолиÑика httpd веÑÑма
++гибка, и ÑÑÑеÑÑвÑÑÑие пеÑеклÑÑаÑели ÑпÑавлÑÑÑ Ð¿Ð¾Ð»Ð¸Ñикой, позволÑÑ httpd вÑполнÑÑÑÑÑ
++Ñ Ð½Ð°Ð¸Ð¼ÐµÐ½ÐµÐµ возможнÑми пÑавами доÑÑÑпа.
++.PP
++ÐÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ httpd мог иÑполнÑÑÑ cgi-ÑкÑипÑÑ, ÑÑÑановиÑе пеÑеклÑÑаÑÐµÐ»Ñ httpd_enable_cgi
++.EX
++setsebool -P httpd_enable_cgi 1
++.EE
++
++.PP
++Ðо ÑмолÑÐ°Ð½Ð¸Ñ Ð´ÐµÐ¼Ð¾Ð½Ñ httpd не ÑазÑеÑен доÑÑÑп в домаÑние деÑикÑоÑиии полÑзоваÑелей. ÐÑли Ð²Ñ Ñ
оÑиÑе ÑазÑеÑиÑÑ Ð´Ð¾ÑÑÑп, вам необÑ
одимо ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ httpd_enable_homedirs и измениÑÑ ÐºÐ¾Ð½ÑекÑÑ
++ÑеÑ
Ñайлов в домаÑниÑ
диÑекÑоÑиÑÑ
полÑзоваÑелей, к коÑоÑÑм должен бÑÑÑ ÑазÑеÑен доÑÑÑп.
++
++.EX
++setsebool -P httpd_enable_homedirs 1
++chcon -R -t httpd_sys_content_t ~user/public_html
++.EE
++
++.PP
++Ðо ÑмолÑÐ°Ð½Ð¸Ñ Ð´ÐµÐ¼Ð¾Ð½ httpd не Ð¸Ð¼ÐµÐµÑ Ð´Ð¾ÑÑÑп к ÑпÑавлÑÑÑÐµÐ¼Ñ ÑеÑминалÑ. РболÑÑинÑÑве ÑлÑÑаев Ñакое
++поведение ÑвлÑеÑÑÑ Ð¿ÑедпоÑÑиÑелÑнÑм. ÐÑо ÑвÑзанно Ñ Ñем, ÑÑо злоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð¿ÑÑаÑÑÑÑ
++иÑполÑзоваÑÑ Ð´Ð¾ÑÑÑп к ÑеÑÐ¼Ð¸Ð½Ð°Ð»Ñ Ð´Ð»Ñ Ð¿Ð¾Ð»ÑÑÐµÐ½Ð¸Ñ Ð¿Ñивилегий. Ðднако, в некоÑоÑÑÑ
ÑиÑÑаÑиÑÑ
демон
++httpd должен вÑводиÑÑ Ð·Ð°Ð¿ÑÐ¾Ñ Ð¿Ð°ÑÐ¾Ð»Ñ Ð´Ð»Ñ Ð¾ÑкÑÑÑÐ¸Ñ Ñайла ÑеÑÑиÑикаÑа и в ÑакиÑ
ÑлÑÑаÑÑ
нÑжен доÑÑÑп
++к ÑеÑминалÑ. ÐÐ»Ñ Ñого, ÑÑÐ¾Ð±Ñ ÑазÑеÑиÑÑ Ð´Ð¾ÑÑÑп к ÑеÑминалÑ, ÑÑÑановиÑе пеÑеклÑÑаÑÐµÐ»Ñ httpd_tty_comm.
++.EX
++setsebool -P httpd_tty_comm 1
++.EE
++
++.PP
++httpd Ð¼Ð¾Ð¶ÐµÑ Ð±ÑÑÑ Ð½Ð°ÑÑÑоен Ñак, ÑÑÐ¾Ð±Ñ Ð½Ðµ ÑазгÑаниÑиваÑÑ Ñип доÑÑÑпа к ÑÐ°Ð¹Ð»Ñ Ð½Ð° оÑновании конÑекÑÑа.
++ÐнÑми Ñловами, ко вÑем Ñайлам, имеÑÑим конÑекÑÑ httpd ÑазÑеÑен доÑÑÑп на ÑÑение/запиÑÑ/иÑполнение.
++УÑÑановка ÑÑого пеÑеклÑÑаÑÐµÐ»Ñ Ð² false, позволÑÐµÑ Ð½Ð°ÑÑÑоиÑÑ Ð¿Ð¾Ð»Ð¸ÑÐ¸ÐºÑ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑи Ñаким обÑазом,
++ÑÑо одина ÑлÑжба httpd не конÑликÑÑÐµÑ Ñ Ð´ÑÑгой.
++.EX
++setsebool -P httpd_unified 0
++.EE
++
++.PP
++ÐмееÑÑÑ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑÑ Ð½Ð°ÑÑÑоиÑÑ httpd Ñаким обÑазом, ÑÑÐ¾Ð±Ñ Ð¾ÑклÑÑиÑÑ Ð²ÑÑÑоеннÑÑ Ð¿Ð¾Ð´Ð´ÐµÑжкÑ
++ÑкÑипÑов (PHP). PHP и дÑÑгие загÑÑжаемÑе модÑли ÑабоÑаÑÑ Ð² Ñом же конÑекÑÑе, ÑÑо и httpd.
++Таким обÑазом, еÑли иÑполÑзÑÑÑÑÑ ÑолÑко внеÑние cgi-ÑкÑипÑÑ, некоÑоÑÑе из пÑавил полиÑики
++ÑазÑеÑаÑÑ httpd болÑÑий доÑÑÑп к ÑиÑÑеме, Ñем необÑ
одимо.
++
++.EX
++setsebool -P httpd_builtin_scripting 0
++.EE
++
++.PP
++Ðо ÑмолÑÐ°Ð½Ð¸Ñ httpd-ÑкÑипÑам запÑеÑено ÑÑÑанавливаÑÑ Ð²Ð½ÐµÑние ÑеÑевÑе подклÑÑениÑ.
++ÐÑо не Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸Ñ Ñ
акеÑÑ, взломавÑÐµÐ¼Ñ Ð²Ð°Ñ httpd-ÑеÑвеÑ, аÑаковаÑÑ Ð´ÑÑгие маÑинÑ.
++ÐÑли ваÑим ÑкÑипÑам необÑ
одимо имеÑÑ Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑÑ Ð¿Ð¾Ð´ÐºÐ»ÑÑениÑ, ÑÑÑановиÑе пеÑеклÑÑаÑелÑ
++httpd_can_network_connect
++
++.EX
++setsebool -P httpd_can_network_connect 1
++.EE
++
++.PP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), httpd(8), chcon(1), setsebool(8)
++
++
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/kerberos_selinux.8 serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8
+--- nsaserefpolicy/man/ru/man8/kerberos_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/kerberos_selinux.8 2007-09-07 04:59:04.000000000 -0400
+@@ -0,0 +1,30 @@
++.TH "kerberos_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "kerberos Selinux Policy documentation"
++.de EX
++.nf
++.ft CW
++..
++.de EE
++.ft R
++.fi
++..
++.SH "ÐÐÐÐÐÐÐÐ"
++kerberos_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Kerberos.
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux заÑиÑÐ°ÐµÑ ÑиÑÑÐµÐ¼Ñ Ð¿Ñи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа. Ðо ÑмолÑÐ°Ð½Ð¸Ñ Kerberos запÑеÑен, поÑколÑÐºÑ ÑÑебÑеÑÑÑ ÑÑнкÑиониÑование демонов,
++коÑоÑÑм пÑедоÑÑавлÑеÑÑÑ ÑлиÑком обÑиÑнÑй доÑÑÑп к ÑеÑи и некоÑоÑÑм ÑÑвÑÑвиÑелÑнÑм в плане безопаÑноÑÑи Ñайлам.
++
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++.PP
++ÐÐ»Ñ Ñого, ÑÑÐ¾Ð±Ñ ÑиÑÑема могла коÑÑекÑно ÑабоÑаÑÑ Ð² окÑÑжении Kerberos, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ allow_kerberos.
++.EX
++setsebool -P allow_kerberos 1
++.EE
++.PP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), kerberos(1), chcon(1), setsebool(8)
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/named_selinux.8 serefpolicy-3.0.8/man/ru/man8/named_selinux.8
+--- nsaserefpolicy/man/ru/man8/named_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/named_selinux.8 2007-09-02 12:48:40.000000000 -0400
+@@ -0,0 +1,31 @@
++.TH "named_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "named Selinux Policy documentation"
++.de EX
++.nf
++.ft CW
++..
++.de EE
++.ft R
++.fi
++..
++.SH "ÐÐÐÐÐÐÐÐ"
++named_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° Internet Name server (named)
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux обеÑпеÑÐ¸Ð²Ð°ÐµÑ Ð·Ð°ÑиÑÑ ÑеÑвеÑа named пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++ÐолиÑика SELinux наÑÑÑаиваеÑÑÑ Ð¸ÑÑ
Ð¾Ð´Ñ Ð¸Ð· пÑинÑипа наименÑÑиÑ
пÑивилегий. Таким обÑазом,
++по ÑмолÑÐ°Ð½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñика SELinux не позволÑÐµÑ Ð´ÐµÐ¼Ð¾Ð½Ñ named оÑÑÑеÑÑвлÑÑÑ Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ñайлов маÑÑеÑ-зонÑ.
++ÐÑли вам необÑ
одимо, ÑÑÐ¾Ð±Ñ named мог обновлÑÑÑ ÑÐ°Ð¹Ð»Ñ Ð¼Ð°ÑÑеÑ-зонÑ, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ named_write_master_zones boolean.
++.EX
++setsebool -P named_write_master_zones 1
++.EE
++.PP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), named(8), chcon(1), setsebool(8)
++
++
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/nfs_selinux.8 serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8
+--- nsaserefpolicy/man/ru/man8/nfs_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/nfs_selinux.8 2007-08-30 08:33:39.000000000 -0400
+@@ -0,0 +1,33 @@
++.TH "nfs_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "nfs Selinux Policy documentation"
++.SH "ÐÐÐÐÐÐÐÐ"
++nfs_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ NFS
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux заÑиÑÐ°ÐµÑ ÑеÑÐ²ÐµÑ nfs пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++ÐолиÑика SELinux наÑÑÑаиваеÑÑÑ Ð¸ÑÑ
Ð¾Ð´Ñ Ð¸Ð· пÑинÑипа наименÑÑиÑ
пÑивилегий. Таким обÑазом,
++по ÑмолÑÐ°Ð½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñика SELinux не позволÑÐµÑ Ð¿ÑедоÑÑавлÑÑÑ Ð´Ð¾ÑÑÑп к Ñайлам по nfs. ÐÑли Ð²Ñ Ñ
оÑиÑе
++ÑазÑеÑиÑÑ Ð´Ð¾ÑÑÑп ÑолÑко на ÑÑение к Ñайлам ÑÑой маÑÐ¸Ð½Ñ Ð¿Ð¾ nfs, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑелÑ
++nfs_export_all_ro.
++
++.TP
++setsebool -P nfs_export_all_ro 1
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе ÑазÑеÑиÑÑ Ð´Ð¾ÑÑÑп на ÑÑение/запиÑÑ, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ nfs_export_all_rw.
++.TP
++setsebool -P nfs_export_all_rw 1
++
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе иÑполÑзоваÑÑ ÑдаленнÑй NFS ÑеÑÐ²ÐµÑ Ð´Ð»Ñ Ñ
ÑÐ°Ð½ÐµÐ½Ð¸Ñ Ð´Ð¾Ð¼Ð°ÑниÑ
диÑекÑоÑий ÑÑой маÑинÑ,
++Ñо Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ use_nfs_home_dir boolean.
++.TP
++setsebool -P use_nfs_home_dirs 1
++.TP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа
++system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), chcon(1), setsebool(8)
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/rsync_selinux.8 serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8
+--- nsaserefpolicy/man/ru/man8/rsync_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/rsync_selinux.8 2007-09-07 04:59:25.000000000 -0400
+@@ -0,0 +1,50 @@
++.TH "rsync_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "rsync Selinux Policy documentation"
++.de EX
++.nf
++.ft CW
++..
++.de EE
++.ft R
++.fi
++..
++.SH "ÐÐÐÐÐÐÐÐ"
++rsync_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Ð´ÐµÐ¼Ð¾Ð½Ð° rsync
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux обеÑпеÑÐ¸Ð²Ð°ÐµÑ Ð·Ð°ÑиÑÑ ÑеÑвеÑа rsync пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐТÐÐСТ ФÐÐÐÐÐ
++SELinux ÑÑебÑÐµÑ Ð½Ð°Ð»Ð¸ÑÐ¸Ñ Ñ Ñайлов ÑаÑÑиÑеннÑÑ
аÑÑибÑÑов, опÑеделÑÑÑиÑ
Ñип Ñайла.
++ÐолиÑика ÑпÑавлÑÐµÑ Ð²Ð¸Ð´Ð¾Ð¼ доÑÑÑпа демона к ÑÑим Ñайлам. ÐÑли Ð²Ñ Ñ
оÑиÑе пÑедоÑÑавиÑÑ Ð´Ð¾ÑÑÑп к Ñайлам
++пÑи помоÑи демона rsync, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð¿ÑиÑвоиÑÑ ÑÑим Ñайлам и диÑекÑоÑиÑм конÑекÑÑ
++public_content_t. Таким обÑазом, еÑли Ð²Ñ ÑоздаеÑе ÑпеÑиалÑнÑÑ Ð´Ð¸ÑекÑоÑÐ¸Ñ /var/rsync, Ñо вам
++необÑ
одимо ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ð´Ð»Ñ ÑÑой диÑекÑоÑии пÑи помоÑи ÑÑилиÑÑ chcon.
++.TP
++chcon -t public_content_t /var/rsync
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе ÑделаÑÑ ÑÑи Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¿Ð¾ÑÑоÑннÑми, инÑми Ñловами, ÑÑÐ¾Ð±Ñ Ð´Ð°Ð½Ð½Ñй конÑекÑÑ ÑоÑ
ÑанÑлÑÑ
++пÑи обновлении конÑекÑÑов, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð´Ð¾Ð±Ð°Ð²Ð¸ÑÑ Ð·Ð°Ð¿Ð¸Ñи в Ñайл file_contexts.local.
++.EX
++/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
++/var/rsync(/.*)? system_u:object_r:public_content_t
++.EE
++
++.SH СÐÐÐÐСТÐÐÐ ÐÐÐÐÐÐÐРФÐÐÐÐÐÐ
++ÐÑли Ð²Ñ Ñ
оÑиÑе оÑганизоваÑÑ Ð¼ÐµÐ¶Ð´Ñ Ð½ÐµÑколÑкими доменами (Apache, FTP, rsync, Samba) ÑовмеÑÑнÑй
++доÑÑÑп к Ñайлам, Ñо Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ñайлов в public_content_t и public_content_rw_t.
++ÐаннÑй конÑекÑÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ Ð»ÑÐ±Ð¾Ð¼Ñ Ð¸Ð· вÑÑе пеÑеÑиÑленнÑÑ
демонов ÑиÑаÑÑ ÑодеÑжимое.
++ÐÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÐºÐ¾Ð½ÐºÑеÑнÑй домен имел пÑаво запиÑи в домен public_content_rw_t, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ
++ÑÑÑановиÑÑ ÑооÑвеÑÑÑвÑÑÑий пеÑеклÑÑаÑÐµÐ»Ñ allow_ÐÐÐÐÐ_anon_write. Таким обÑазом, Ð´Ð»Ñ rsync Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð²ÑполниÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ:
++
++.EX
++setsebool -P allow_rsync_anon_write=1
++.EE
++
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++.TP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), rsync(1), chcon(1), setsebool(8)
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/samba_selinux.8 serefpolicy-3.0.8/man/ru/man8/samba_selinux.8
+--- nsaserefpolicy/man/ru/man8/samba_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/samba_selinux.8 2007-09-07 04:58:17.000000000 -0400
+@@ -0,0 +1,60 @@
++.TH "samba_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "Samba Selinux Policy documentation"
++.SH "ÐÐÐÐÐÐÐÐ"
++samba_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ Samba
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux обеÑпеÑÐ¸Ð²Ð°ÐµÑ Ð·Ð°ÑиÑÑ ÑеÑвеÑа Samba пÑи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа.
++.SH ÐÐÐТÐÐСТ ФÐÐÐÐÐ
++SELinux ÑÑебÑÐµÑ Ð½Ð°Ð»Ð¸ÑÐ¸Ñ Ñ Ñайлов ÑаÑÑиÑеннÑÑ
аÑÑибÑÑов, опÑеделÑÑÑиÑ
Ñип Ñайла.
++ÐолиÑика ÑпÑавлÑÐµÑ Ð²Ð¸Ð´Ð¾Ð¼ доÑÑÑпа демона к ÑÑим Ñайлам.
++ÐÑли Ð²Ñ Ñ
оÑиÑе пÑедоÑÑавиÑÑ Ð´Ð¾ÑÑÑп к Ñайлам вовне домаÑниÑ
диÑекÑоÑий, ÑÑим Ñайлам необÑ
одимо
++пÑиÑвоиÑÑ ÐºÐ¾Ð½ÑекÑÑ samba_share_t.
++Таким обÑазом, еÑли Ð²Ñ ÑоздаеÑе ÑпеÑиалÑнÑÑ Ð´Ð¸ÑекÑоÑÐ¸Ñ /var/eng, Ñо вам необÑ
одимо
++ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ð´Ð»Ñ ÑÑой диÑекÑоÑии пÑи помоÑи ÑÑилиÑÑ chcon.
++.TP
++chcon -t samba_share_t /var/eng
++.TP
++
++ÐÑли Ð²Ñ Ñ
оÑиÑе ÑделаÑÑ ÑÑи Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ð¿Ð¾ÑÑоÑннÑми, инÑми Ñловами, ÑÑÐ¾Ð±Ñ Ð´Ð°Ð½Ð½Ñй конÑекÑÑ ÑоÑ
ÑанÑлÑÑ
++пÑи обновлении конÑекÑÑов, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð´Ð¾Ð±Ð°Ð²Ð¸ÑÑ Ð·Ð°Ð¿Ð¸Ñи в Ñайл file_contexts.local.
++.TP
++/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
++.br
++/var/eng(/.*)? system_u:object_r:samba_share_t
++
++.SH СÐÐÐÐСТÐÐÐ ÐÐÐÐÐÐÐРФÐÐÐÐÐÐ
++ÐÑли Ð²Ñ Ñ
оÑиÑе оÑганизоваÑÑ Ð¼ÐµÐ¶Ð´Ñ Ð½ÐµÑколÑкими доменами (Apache, FTP, rsync, Samba) ÑовмеÑÑнÑй
++доÑÑÑп к Ñайлам, Ñо Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе ÑÑÑановиÑÑ ÐºÐ¾Ð½ÑекÑÑ Ñайлов в public_content_t и public_content_rw_t.
++ÐаннÑй конÑекÑÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ Ð»ÑÐ±Ð¾Ð¼Ñ Ð¸Ð· вÑÑе пеÑеÑиÑленнÑÑ
демонов ÑиÑаÑÑ ÑодеÑжимое.
++ÐÑли Ð²Ñ Ñ
оÑиÑе, ÑÑÐ¾Ð±Ñ ÐºÐ¾Ð½ÐºÑеÑнÑй домен имел пÑаво запиÑи в домен public_content_rw_t, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ
++ÑÑÑановиÑÑ ÑооÑвеÑÑÑвÑÑÑий пеÑеклÑÑаÑÐµÐ»Ñ allow_ÐÐÐÐÐ_anon_write. Таким обÑазом, Ð´Ð»Ñ samba Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ Ð²ÑполниÑÑ ÐºÐ¾Ð¼Ð°Ð½Ð´Ñ:
++
++setsebool -P allow_smbd_anon_write=1
++
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++.br
++ÐолиÑика SELinux наÑÑÑаиваеÑÑÑ Ð¸ÑÑ
Ð¾Ð´Ñ Ð¸Ð· пÑинÑипа наименÑÑиÑ
пÑивилегий.
++Таким обÑазом, по ÑмолÑÐ°Ð½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñика SELinux не позволÑÐµÑ Ð¿ÑедоÑÑавлÑÑÑ ÑдаленнÑй доÑÑÑп
++к домаÑним диÑекÑоÑиÑм и не позволÑÐµÑ Ð¸ÑполÑзоваÑÑ ÑдаленнÑй ÑеÑÐ²ÐµÑ Samba Ð´Ð»Ñ Ñ
ÑанениÑ
++домаÑниÑ
диÑекÑоÑий.
++.TP
++ÐÑли Ð²Ñ Ð½Ð°ÑÑÑоили ÑÑÑ Ð¼Ð°ÑÐ¸Ð½Ñ ÐºÐ°Ðº ÑеÑÐ²ÐµÑ Samba и желаеÑе пÑедоÑÑавиÑÑ Ð´Ð¾ÑÑÑп к домаÑним
++диÑекÑоÑиÑм, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ samba_enable_home_dirs.
++.br
++
++setsebool -P samba_enable_home_dirs 1
++.TP
++ÐÑли Ð²Ñ Ñ
оÑиÑе Ð´Ð»Ñ Ñ
ÑÐ°Ð½ÐµÐ½Ð¸Ñ Ð´Ð¾Ð¼Ð°ÑниÑ
диÑекÑоÑий полÑзоваÑелей ÑÑой маÑÐ¸Ð½Ñ Ð¸ÑполÑзоваÑÑ ÑдаленнÑй
++ÑеÑÐ²ÐµÑ Samba, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ use_samba_home_dirs.
++.br
++
++setsebool -P use_samba_home_dirs 1
++.TP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), samba(7), chcon(1), setsebool(8)
+diff --exclude-from=exclude -N -u -r nsaserefpolicy/man/ru/man8/ypbind_selinux.8 serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8
+--- nsaserefpolicy/man/ru/man8/ypbind_selinux.8 1969-12-31 19:00:00.000000000 -0500
++++ serefpolicy-3.0.8/man/ru/man8/ypbind_selinux.8 2007-08-28 06:30:26.000000000 -0400
+@@ -0,0 +1,19 @@
++.TH "ypbind_selinux" "8" "17 Янв 2005" "dwalsh at redhat.com" "ypbind Selinux Policy documentation"
++.SH "ÐÐÐÐÐÐÐÐ"
++ypbind_selinux \- ÐолиÑика Security Enhanced Linux Ð´Ð»Ñ NIS.
++.SH "ÐÐÐСÐÐÐÐ"
++
++Security-Enhanced Linux заÑиÑÐ°ÐµÑ ÑиÑÑÐµÐ¼Ñ Ð¿Ñи помоÑи гибко наÑÑÑаиваемого мандаÑного конÑÑÐ¾Ð»Ñ Ð´Ð¾ÑÑÑпа. Ðо ÑмолÑÐ°Ð½Ð¸Ñ ÑабоÑа NIS запÑеÑена. ÐÑо ÑвлÑеÑÑÑ ÑледÑÑвием Ñого, ÑÑо Ð´ÐµÐ¼Ð¾Ð½Ñ NIS ÑÑебÑÑÑ ÑлиÑком обÑиÑного доÑÑÑпа к ÑеÑи.
++.SH ÐÐÐ ÐÐÐЮЧÐТÐÐÐ (BOOLEANS)
++.TP
++ÐÐ»Ñ Ñого, ÑÑÐ¾Ð±Ñ ÑиÑÑема могла ÑабоÑаÑÑ Ð² окÑÑжении NIS, Ð²Ñ Ð´Ð¾Ð»Ð¶Ð½Ñ ÑÑÑановиÑÑ Ð¿ÐµÑеклÑÑаÑÐµÐ»Ñ allow_ypbind.
++.TP
++setsebool -P allow_ypbind 1
++.TP
++ÐÐ»Ñ ÑпÑÐ°Ð²Ð»ÐµÐ½Ð¸Ñ Ð½Ð°ÑÑÑойками SELinux ÑÑÑеÑÑвÑÐµÑ Ð³ÑаÑиÑеÑÐºÐ°Ñ ÑÑилиÑа system-config-selinux.
++.SH ÐÐТÐРЫ
++ÐÑÑ ÑÑÑаниÑÑ ÑÑководÑÑва напиÑал Dan Walsh <dwalsh at redhat.com>.
++ÐеÑевод ÑÑководÑÑва - ÐндÑей ÐаÑкелов <andrey at markelov.net>, 2007г.
++
++.SH "СÐÐТРРТÐÐÐÐ"
++selinux(8), ypbind(8), chcon(1), setsebool(8)
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/flask/access_vectors serefpolicy-3.0.8/policy/flask/access_vectors
--- nsaserefpolicy/policy/flask/access_vectors 2007-08-22 07:14:04.000000000 -0400
+++ serefpolicy-3.0.8/policy/flask/access_vectors 2007-10-03 11:10:24.000000000 -0400
@@ -1227,7 +1676,7 @@
## <param name="domain">
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/admin/usermanage.te serefpolicy-3.0.8/policy/modules/admin/usermanage.te
--- nsaserefpolicy/policy/modules/admin/usermanage.te 2007-09-12 10:34:51.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-03 11:10:24.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/admin/usermanage.te 2007-10-09 15:40:44.000000000 -0400
@@ -92,6 +92,7 @@
dev_read_urand(chfn_t)
@@ -1236,7 +1685,7 @@
auth_dontaudit_read_shadow(chfn_t)
# allow checking if a shell is executable
-@@ -297,6 +298,7 @@
+@@ -297,9 +298,11 @@
term_use_all_user_ttys(passwd_t)
term_use_all_user_ptys(passwd_t)
@@ -1244,7 +1693,11 @@
auth_manage_shadow(passwd_t)
auth_relabel_shadow(passwd_t)
auth_etc_filetrans_shadow(passwd_t)
-@@ -520,6 +522,10 @@
++auth_use_nsswitch(passwd_t)
+
+ # allow checking if a shell is executable
+ corecmd_check_exec_shell(passwd_t)
+@@ -520,6 +523,10 @@
mta_manage_spool(useradd_t)
optional_policy(`
@@ -1255,7 +1708,7 @@
dpkg_use_fds(useradd_t)
dpkg_rw_pipes(useradd_t)
')
-@@ -529,6 +535,12 @@
+@@ -529,6 +536,12 @@
')
optional_policy(`
@@ -3327,7 +3780,7 @@
optional_policy(`
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.if serefpolicy-3.0.8/policy/modules/kernel/selinux.if
--- nsaserefpolicy/policy/modules/kernel/selinux.if 2007-07-03 07:05:38.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-03 11:10:24.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/kernel/selinux.if 2007-10-09 16:03:39.000000000 -0400
@@ -138,6 +138,7 @@
type security_t;
')
@@ -3394,7 +3847,7 @@
if(!secure_mode_policyload) {
allow $1 security_t:security setbool;
-@@ -463,3 +495,42 @@
+@@ -463,3 +495,23 @@
typeattribute $1 selinux_unconfined_type;
')
@@ -3418,25 +3871,6 @@
+ fs_type($1)
+ mls_trusted_object($1)
+')
-+
-+########################################
-+## <summary>
-+## Generate a file context for a boolean type
-+## </summary>
-+## <param name="type">
-+## <summary>
-+## Type of the boolean
-+## </summary>
-+## </param>
-+## <param name="domain">
-+## <summary>
-+## name of the boolean
-+## </summary>
-+## </param>
-+#
-+interface(`selinux_genbool_mapping',`
-+ genfscon selinuxfs /booleans/$2 gen_context(system_u:object_r:$1,s0)
-+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/kernel/selinux.te serefpolicy-3.0.8/policy/modules/kernel/selinux.te
--- nsaserefpolicy/policy/modules/kernel/selinux.te 2007-07-25 10:37:36.000000000 -0400
+++ serefpolicy-3.0.8/policy/modules/kernel/selinux.te 2007-10-03 11:10:24.000000000 -0400
@@ -4776,7 +5210,7 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/consolekit.te serefpolicy-3.0.8/policy/modules/services/consolekit.te
--- nsaserefpolicy/policy/modules/services/consolekit.te 2007-07-25 10:37:42.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-03 11:10:24.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/services/consolekit.te 2007-10-09 15:34:31.000000000 -0400
@@ -10,7 +10,6 @@
type consolekit_exec_t;
init_daemon_domain(consolekit_t, consolekit_exec_t)
@@ -4785,15 +5219,17 @@
type consolekit_var_run_t;
files_pid_file(consolekit_var_run_t)
-@@ -25,7 +24,6 @@
+@@ -25,7 +24,8 @@
allow consolekit_t self:unix_stream_socket create_stream_socket_perms;
allow consolekit_t self:unix_dgram_socket create_socket_perms;
-# pid file
++auth_use_nsswitch(consolekit_t)
++
manage_files_pattern(consolekit_t,consolekit_var_run_t,consolekit_var_run_t)
files_pid_filetrans(consolekit_t,consolekit_var_run_t, file)
-@@ -38,6 +36,7 @@
+@@ -38,6 +38,7 @@
domain_read_all_domains_state(consolekit_t)
domain_use_interactive_fds(consolekit_t)
@@ -4801,7 +5237,7 @@
files_read_etc_files(consolekit_t)
# needs to read /var/lib/dbus/machine-id
-@@ -50,8 +49,15 @@
+@@ -50,8 +51,15 @@
libs_use_ld_so(consolekit_t)
libs_use_shared_libs(consolekit_t)
@@ -4817,7 +5253,7 @@
optional_policy(`
dbus_system_bus_client_template(consolekit, consolekit_t)
dbus_send_system_bus(consolekit_t)
-@@ -62,9 +68,16 @@
+@@ -62,9 +70,18 @@
optional_policy(`
unconfined_dbus_chat(consolekit_t)
')
@@ -4827,6 +5263,8 @@
optional_policy(`
xserver_read_all_users_xauth(consolekit_t)
xserver_stream_connect_xdm_xserver(consolekit_t)
++ # For homedirs without xauth labeling
++ userdom_read_generic_user_home_content_files(consolekit_t)
')
+
+optional_policy(`
@@ -7561,8 +7999,8 @@
## <param name="domain">
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/nis.te serefpolicy-3.0.8/policy/modules/services/nis.te
--- nsaserefpolicy/policy/modules/services/nis.te 2007-07-25 10:37:42.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-03 11:10:24.000000000 -0400
-@@ -113,6 +113,14 @@
++++ serefpolicy-3.0.8/policy/modules/services/nis.te 2007-10-09 16:44:03.000000000 -0400
+@@ -113,6 +113,18 @@
userdom_dontaudit_use_unpriv_user_fds(ypbind_t)
userdom_dontaudit_search_sysadm_home_dirs(ypbind_t)
@@ -7572,12 +8010,16 @@
+ dbus_connect_system_bus(ypbind_t)
+ dbus_send_system_bus(ypbind_t)
+ init_dbus_chat_script(ypbind_t)
++
++ optional_policy(`
++ networkmanager_dbus_chat(ypbind_t)
++ ')
+')
+
optional_policy(`
seutil_sigchld_newrole(ypbind_t)
')
-@@ -126,6 +134,7 @@
+@@ -126,6 +138,7 @@
# yppasswdd local policy
#
@@ -7585,7 +8027,7 @@
dontaudit yppasswdd_t self:capability sys_tty_config;
allow yppasswdd_t self:fifo_file rw_fifo_file_perms;
allow yppasswdd_t self:process { setfscreate signal_perms };
-@@ -156,8 +165,8 @@
+@@ -156,8 +169,8 @@
corenet_udp_sendrecv_all_ports(yppasswdd_t)
corenet_tcp_bind_all_nodes(yppasswdd_t)
corenet_udp_bind_all_nodes(yppasswdd_t)
@@ -7596,7 +8038,7 @@
corenet_dontaudit_tcp_bind_all_reserved_ports(yppasswdd_t)
corenet_dontaudit_udp_bind_all_reserved_ports(yppasswdd_t)
corenet_sendrecv_generic_server_packets(yppasswdd_t)
-@@ -247,6 +256,8 @@
+@@ -247,6 +260,8 @@
corenet_udp_bind_all_nodes(ypserv_t)
corenet_tcp_bind_reserved_port(ypserv_t)
corenet_udp_bind_reserved_port(ypserv_t)
@@ -7605,7 +8047,7 @@
corenet_dontaudit_tcp_bind_all_reserved_ports(ypserv_t)
corenet_dontaudit_udp_bind_all_reserved_ports(ypserv_t)
corenet_sendrecv_generic_server_packets(ypserv_t)
-@@ -315,6 +326,8 @@
+@@ -315,6 +330,8 @@
corenet_udp_bind_all_nodes(ypxfr_t)
corenet_tcp_bind_reserved_port(ypxfr_t)
corenet_udp_bind_reserved_port(ypxfr_t)
@@ -9065,7 +9507,7 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/samba.te serefpolicy-3.0.8/policy/modules/services/samba.te
--- nsaserefpolicy/policy/modules/services/samba.te 2007-07-25 10:37:42.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/services/samba.te 2007-10-09 11:56:37.000000000 -0400
@@ -137,6 +137,11 @@
type winbind_var_run_t;
files_pid_file(winbind_var_run_t)
@@ -9982,7 +10424,7 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/ssh.if serefpolicy-3.0.8/policy/modules/services/ssh.if
--- nsaserefpolicy/policy/modules/services/ssh.if 2007-07-25 10:37:42.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/services/ssh.if 2007-10-09 15:53:25.000000000 -0400
@@ -202,6 +202,7 @@
#
template(`ssh_per_role_template',`
@@ -9991,7 +10433,15 @@
type ssh_agent_exec_t, ssh_keysign_exec_t;
')
-@@ -520,6 +521,7 @@
+@@ -512,6 +513,7 @@
+
+ tunable_policy(`use_nfs_home_dirs',`
+ fs_read_nfs_files($1_t)
++ fs_read_nfs_symlinks($1_t)
+ ')
+
+ tunable_policy(`use_samba_home_dirs',`
+@@ -520,6 +522,7 @@
optional_policy(`
kerberos_use($1_t)
@@ -9999,7 +10449,7 @@
')
optional_policy(`
-@@ -708,3 +710,42 @@
+@@ -708,3 +711,42 @@
dontaudit $1 sshd_key_t:file { getattr read };
')
@@ -10663,7 +11113,7 @@
+
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/services/xserver.te serefpolicy-3.0.8/policy/modules/services/xserver.te
--- nsaserefpolicy/policy/modules/services/xserver.te 2007-08-22 07:14:07.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/services/xserver.te 2007-10-09 15:41:36.000000000 -0400
@@ -16,6 +16,13 @@
## <desc>
@@ -10791,10 +11241,14 @@
# Label pid and temporary files with derived types.
manage_files_pattern(xdm_xserver_t,xdm_tmp_t,xdm_tmp_t)
-@@ -425,6 +447,10 @@
+@@ -425,6 +447,14 @@
')
optional_policy(`
++ locallogin_use_fds(xdm_xserver_t)
++')
++
++optional_policy(`
+ mono_rw_shm(xdm_xserver_t)
+')
+
@@ -10802,7 +11256,7 @@
resmgr_stream_connect(xdm_t)
')
-@@ -434,47 +460,20 @@
+@@ -434,47 +464,24 @@
')
optional_policy(`
@@ -10818,13 +11272,13 @@
+ unconfined_rw_shm(xdm_xserver_t)
+ unconfined_execmem_rw_shm(xdm_xserver_t)
+ unconfined_rw_tmpfs_files(xdm_xserver_t)
-+')
- ifdef(`distro_rhel4',`
- allow xdm_xserver_t self:process { execheap execmem };
- ')
-+tunable_policy(`allow_xserver_execmem', `
-+ allow xdm_xserver_t self:process { execheap execmem };
++ # xserver signals unconfined user on startx
++ unconfined_signal(xdm_xserver_t)
++ unconfined_getpgid(xdm_xserver_t)
')
-ifdef(`TODO',`
@@ -10848,6 +11302,10 @@
-allow xdm_t polymember:lnk_file { create unlink };
-# xdm needs access for copying .Xauthority into new home
-allow xdm_t polymember:file { create getattr write };
++tunable_policy(`allow_xserver_execmem', `
++ allow xdm_xserver_t self:process { execheap execmem };
++')
++
+ifdef(`distro_rhel4',`
+ allow xdm_xserver_t self:process { execheap execmem };
')
@@ -11289,7 +11747,7 @@
+
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/authlogin.te serefpolicy-3.0.8/policy/modules/system/authlogin.te
--- nsaserefpolicy/policy/modules/system/authlogin.te 2007-08-22 07:14:12.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/system/authlogin.te 2007-10-09 15:40:02.000000000 -0400
@@ -9,6 +9,13 @@
attribute can_read_shadow_passwords;
attribute can_write_shadow_passwords;
@@ -11325,7 +11783,22 @@
########################################
#
# PAM local policy
-@@ -149,6 +163,8 @@
+@@ -94,10 +108,14 @@
+ allow pam_t pam_tmp_t:file manage_file_perms;
+ files_tmp_filetrans(pam_t, pam_tmp_t, { file dir })
+
++auth_use_nsswitch(pam_t)
++
+ kernel_read_system_state(pam_t)
+
+ fs_search_auto_mountpoints(pam_t)
+
++miscfiles_read_localization(pam_t)
++
+ term_use_all_user_ttys(pam_t)
+ term_use_all_user_ptys(pam_t)
+
+@@ -149,6 +167,8 @@
dev_setattr_apm_bios_dev(pam_console_t)
dev_getattr_dri_dev(pam_console_t)
dev_setattr_dri_dev(pam_console_t)
@@ -11334,7 +11807,7 @@
dev_getattr_framebuffer_dev(pam_console_t)
dev_setattr_framebuffer_dev(pam_console_t)
dev_getattr_generic_usb_dev(pam_console_t)
-@@ -159,6 +175,8 @@
+@@ -159,6 +179,8 @@
dev_setattr_mouse_dev(pam_console_t)
dev_getattr_power_mgmt_dev(pam_console_t)
dev_setattr_power_mgmt_dev(pam_console_t)
@@ -11343,7 +11816,7 @@
dev_getattr_scanner_dev(pam_console_t)
dev_setattr_scanner_dev(pam_console_t)
dev_getattr_sound_dev(pam_console_t)
-@@ -200,6 +218,7 @@
+@@ -200,6 +222,7 @@
fs_list_auto_mountpoints(pam_console_t)
fs_list_noxattr_fs(pam_console_t)
@@ -11351,7 +11824,7 @@
init_use_fds(pam_console_t)
init_use_script_ptys(pam_console_t)
-@@ -236,7 +255,7 @@
+@@ -236,7 +259,7 @@
optional_policy(`
xserver_read_xdm_pid(pam_console_t)
@@ -11360,7 +11833,7 @@
')
########################################
-@@ -302,3 +321,28 @@
+@@ -302,3 +325,28 @@
xserver_use_xdm_fds(utempter_t)
xserver_rw_xdm_pipes(utempter_t)
')
@@ -11570,7 +12043,7 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/init.if serefpolicy-3.0.8/policy/modules/system/init.if
--- nsaserefpolicy/policy/modules/system/init.if 2007-08-22 07:14:12.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/system/init.if 2007-10-09 16:04:58.000000000 -0400
@@ -211,6 +211,21 @@
kernel_dontaudit_use_fds($1)
')
@@ -13261,7 +13734,7 @@
+
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/raid.te serefpolicy-3.0.8/policy/modules/system/raid.te
--- nsaserefpolicy/policy/modules/system/raid.te 2007-09-12 10:34:51.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-03 11:10:25.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/system/raid.te 2007-10-09 16:01:10.000000000 -0400
@@ -19,7 +19,7 @@
# Local policy
#
@@ -13271,6 +13744,14 @@
dontaudit mdadm_t self:capability sys_tty_config;
allow mdadm_t self:process { sigchld sigkill sigstop signull signal };
allow mdadm_t self:fifo_file rw_fifo_file_perms;
+@@ -39,6 +39,7 @@
+ dev_dontaudit_getattr_generic_files(mdadm_t)
+ dev_dontaudit_getattr_generic_chr_files(mdadm_t)
+ dev_dontaudit_getattr_generic_blk_files(mdadm_t)
++dev_read_realtime_clock(mdadm_t)
+
+ fs_search_auto_mountpoints(mdadm_t)
+ fs_dontaudit_list_tmpfs(mdadm_t)
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.fc serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc
--- nsaserefpolicy/policy/modules/system/selinuxutil.fc 2007-05-30 11:47:29.000000000 -0400
+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.fc 2007-10-04 10:32:45.000000000 -0400
@@ -13566,7 +14047,7 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/selinuxutil.te serefpolicy-3.0.8/policy/modules/system/selinuxutil.te
--- nsaserefpolicy/policy/modules/system/selinuxutil.te 2007-09-12 10:34:51.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-07 07:59:32.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/system/selinuxutil.te 2007-10-09 15:59:34.000000000 -0400
@@ -76,7 +76,6 @@
type restorecond_exec_t;
init_daemon_domain(restorecond_t,restorecond_exec_t)
@@ -13696,7 +14177,7 @@
auth_dontaudit_read_shadow(run_init_t)
corecmd_exec_bin(run_init_t)
-@@ -423,77 +426,49 @@
+@@ -423,77 +426,52 @@
nscd_socket_use(run_init_t)
')
@@ -13708,11 +14189,6 @@
#
+seutil_semanage_policy(setsebool_t)
+selinux_set_boolean(setsebool_t)
-+# Bug in semanage
-+seutil_domtrans_setfiles(setsebool_t)
-+seutil_manage_file_contexts(setsebool_t)
-+seutil_manage_default_contexts(setsebool_t)
-+seutil_manage_selinux_config(setsebool_t)
-allow semanage_t self:capability { dac_override audit_write };
-allow semanage_t self:unix_stream_socket create_stream_socket_perms;
@@ -13731,9 +14207,15 @@
-corecmd_exec_bin(semanage_t)
-
-dev_read_urand(semanage_t)
--
++init_dontaudit_use_fds(setsebool_t)
+
-domain_use_interactive_fds(semanage_t)
--
++# Bug in semanage
++seutil_domtrans_setfiles(setsebool_t)
++seutil_manage_file_contexts(setsebool_t)
++seutil_manage_default_contexts(setsebool_t)
++seutil_manage_selinux_config(setsebool_t)
+
-files_read_etc_files(semanage_t)
-files_read_etc_runtime_files(semanage_t)
-files_read_usr_files(semanage_t)
@@ -13799,7 +14281,7 @@
# cjp: need a more general way to handle this:
ifdef(`enable_mls',`
# read secadm tmp files
-@@ -521,6 +496,8 @@
+@@ -521,6 +499,8 @@
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:file r_file_perms;
allow setfiles_t { policy_src_t policy_config_t file_context_t selinux_config_t default_context_t }:lnk_file r_file_perms;
@@ -13808,7 +14290,7 @@
kernel_read_system_state(setfiles_t)
kernel_relabelfrom_unlabeled_dirs(setfiles_t)
kernel_relabelfrom_unlabeled_files(setfiles_t)
-@@ -537,6 +514,7 @@
+@@ -537,6 +517,7 @@
fs_getattr_xattr_fs(setfiles_t)
fs_list_all(setfiles_t)
@@ -13816,7 +14298,7 @@
fs_search_auto_mountpoints(setfiles_t)
fs_relabelfrom_noxattr_fs(setfiles_t)
-@@ -590,8 +568,16 @@
+@@ -590,8 +571,16 @@
fs_relabel_tmpfs_chr_file(setfiles_t)
')
@@ -13966,8 +14448,16 @@
+')
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/udev.te serefpolicy-3.0.8/policy/modules/system/udev.te
--- nsaserefpolicy/policy/modules/system/udev.te 2007-09-12 10:34:51.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-08 11:25:00.000000000 -0400
-@@ -184,6 +184,12 @@
++++ serefpolicy-3.0.8/policy/modules/system/udev.te 2007-10-09 16:07:36.000000000 -0400
+@@ -132,6 +132,7 @@
+
+ init_read_utmp(udev_t)
+ init_dontaudit_write_utmp(udev_t)
++init_getattr_initctl(udev_t)
+
+ libs_use_ld_so(udev_t)
+ libs_use_shared_libs(udev_t)
+@@ -184,6 +185,12 @@
')
optional_policy(`
@@ -13991,7 +14481,7 @@
+/usr/bin/sbcl -- gen_context(system_u:object_r:unconfined_execmem_exec_t,s0)
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.if serefpolicy-3.0.8/policy/modules/system/unconfined.if
--- nsaserefpolicy/policy/modules/system/unconfined.if 2007-06-15 14:54:34.000000000 -0400
-+++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 10:33:22.000000000 -0400
++++ serefpolicy-3.0.8/policy/modules/system/unconfined.if 2007-10-09 15:38:02.000000000 -0400
@@ -12,14 +12,13 @@
#
interface(`unconfined_domain_noaudit',`
@@ -14073,7 +14563,7 @@
read_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
read_lnk_files_pattern($1,{ unconfined_home_dir_t unconfined_home_t },unconfined_home_t)
')
-@@ -601,3 +605,179 @@
+@@ -601,3 +605,198 @@
allow $1 unconfined_tmp_t:file { getattr write append };
')
@@ -14253,6 +14743,25 @@
+ rw_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
+ read_lnk_files_pattern($1,unconfined_tmpfs_t,unconfined_tmpfs_t)
+')
++
++########################################
++## <summary>
++## Get the process group of unconfined.
++## </summary>
++## <param name="domain">
++## <summary>
++## Domain allowed access.
++## </summary>
++## </param>
++#
++interface(`unconfined_getpgid',`
++ gen_require(`
++ type unconfined_t;
++ ')
++
++ allow $1 unconfined_t:process getpgid;
++')
++
diff --exclude-from=exclude -N -u -r nsaserefpolicy/policy/modules/system/unconfined.te serefpolicy-3.0.8/policy/modules/system/unconfined.te
--- nsaserefpolicy/policy/modules/system/unconfined.te 2007-07-25 10:37:42.000000000 -0400
+++ serefpolicy-3.0.8/policy/modules/system/unconfined.te 2007-10-08 10:08:01.000000000 -0400
@@ -16433,6 +16942,14 @@
- gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r'), s0, s0 - mls_systemhigh, mcs_allcats)
-')
+gen_user(root, sysadm, sysadm_r staff_r ifdef(`enable_mls',`secadm_r auditadm_r') system_r, s0, s0 - mls_systemhigh, mcs_allcats)
+Binary files nsaserefpolicy/ru/ftpd_selinux.8.gz and serefpolicy-3.0.8/ru/ftpd_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/httpd_selinux.8.gz and serefpolicy-3.0.8/ru/httpd_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/kerberos_selinux.8.gz and serefpolicy-3.0.8/ru/kerberos_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/named_selinux.8.gz and serefpolicy-3.0.8/ru/named_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/nfs_selinux.8.gz and serefpolicy-3.0.8/ru/nfs_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/rsync_selinux.8.gz and serefpolicy-3.0.8/ru/rsync_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/samba_selinux.8.gz and serefpolicy-3.0.8/ru/samba_selinux.8.gz differ
+Binary files nsaserefpolicy/ru/ypbind_selinux.8.gz and serefpolicy-3.0.8/ru/ypbind_selinux.8.gz differ
diff --exclude-from=exclude -N -u -r nsaserefpolicy/Rules.modular serefpolicy-3.0.8/Rules.modular
--- nsaserefpolicy/Rules.modular 2007-05-25 09:09:10.000000000 -0400
+++ serefpolicy-3.0.8/Rules.modular 2007-10-03 11:10:25.000000000 -0400
Index: selinux-policy.spec
===================================================================
RCS file: /cvs/extras/rpms/selinux-policy/devel/selinux-policy.spec,v
retrieving revision 1.542
retrieving revision 1.543
diff -u -r1.542 -r1.543
--- selinux-policy.spec 8 Oct 2007 15:32:19 -0000 1.542
+++ selinux-policy.spec 9 Oct 2007 20:53:38 -0000 1.543
@@ -17,7 +17,7 @@
Summary: SELinux policy configuration
Name: selinux-policy
Version: 3.0.8
-Release: 19%{?dist}
+Release: 20%{?dist}
License: GPLv2+
Group: System Environment/Base
Source: serefpolicy-%{version}.tgz
@@ -47,7 +47,7 @@
SELinux Base package
%files
-%{_mandir}/man8/*
+%{_mandir}/*
%doc %{_usr}/share/doc/%{name}-%{version}
%dir %{_usr}/share/selinux
%dir %{_sysconfdir}/selinux
@@ -177,8 +177,8 @@
%install
# Build targeted policy
%{__rm} -fR %{buildroot}
-mkdir -p %{buildroot}%{_mandir}/man8/
-install -m 644 man/man8/*.8 %{buildroot}%{_mandir}/man8/
+mkdir -p %{buildroot}%{_mandir}
+cp -R man %{buildroot}%{_mandir}
mkdir -p %{buildroot}%{_sysconfdir}/selinux
mkdir -p %{buildroot}%{_sysconfdir}/sysconfig
touch %{buildroot}%{_sysconfdir}/selinux/config
@@ -371,6 +371,9 @@
%endif
%changelog
+* Tue Oct 9 2007 Dan Walsh <dwalsh at redhat.com> 3.0.8-20
+- Fixes for consolekit and startx sessions
+
* Mon Oct 8 2007 Dan Walsh <dwalsh at redhat.com> 3.0.8-19
- Dontaudit consoletype talking to unconfined_t
- Previous message (by thread): rpms/uisp/F-7 uisp.spec, NONE, 1.1 uisp_Werror.patch, NONE, 1.1 sources, 1.1, 1.2
- Next message (by thread): rpms/selinux-policy/F-7 policy-20070501.patch, 1.63, 1.64 selinux-policy.spec, 1.498, 1.499
- Messages sorted by:
[ date ]
[ thread ]
[ subject ]
[ author ]
More information about the fedora-extras-commits
mailing list