From: sven.vermeulen@siphos.be (Sven Vermeulen) Date: Sun, 25 Mar 2012 14:33:07 +0200 Subject: [refpolicy] [PATCH 1/1] Adding binaries on less-expected locations Message-ID: <20120325123307.GA12427@siphos.be> To: refpolicy@oss.tresys.com List-Id: refpolicy.oss.tresys.com Sadly more and more softwares are adding scripts on locations the default SELinux policy doesn't expect scripts to be at. This patch adds in some more bin_t-labeled files and locations. Signed-off-by: Sven Vermeulen --- policy/modules/kernel/corecommands.fc | 19 ++++++++++++++++++- 1 files changed, 18 insertions(+), 1 deletions(-) diff --git a/policy/modules/kernel/corecommands.fc b/policy/modules/kernel/corecommands.fc index 6590490..a7ac5e6 100644 --- a/policy/modules/kernel/corecommands.fc +++ b/policy/modules/kernel/corecommands.fc @@ -112,6 +112,8 @@ ifdef(`distro_redhat',` /etc/vmware-tools(/.*)? gen_context(system_u:object_r:bin_t,s0) +/etc/wpa_supplicant/wpa_cli.sh -- gen_context(system_u:object_r:bin_t,s0) + /etc/X11/xdm/GiveConsole -- gen_context(system_u:object_r:bin_t,s0) /etc/X11/xdm/TakeConsole -- gen_context(system_u:object_r:bin_t,s0) /etc/X11/xdm/Xsetup_0 -- gen_context(system_u:object_r:bin_t,s0) @@ -124,6 +126,10 @@ ifdef(`distro_debian',` /etc/mysql/debian-start -- gen_context(system_u:object_r:bin_t,s0) ') +ifdef(`distro_gentoo',` +/etc/portage/bin(/.*)? -- gen_context(system_u:object_r:bin_t,s0) +') + # # /lib # @@ -140,7 +146,10 @@ ifdef(`distro_debian',` ifdef(`distro_gentoo',` /lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) -/lib64/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) + +/lib/rc/bin/.* -- gen_context(system_u:object_r:bin_t,s0) +/lib/rc/sbin/.* -- gen_context(system_u:object_r:bin_t,s0) +/lib/rc/sh/.* -- gen_context(system_u:object_r:bin_t,s0) /lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0) /lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0) @@ -203,6 +212,7 @@ ifdef(`distro_gentoo',` /usr/lib(64)?/ConsoleKit/scripts(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/ConsoleKit/run-session.d(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/courier(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib(64)?/courier-imap/.* -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/cups(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/cyrus/.* -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/cyrus-imapd/.* -- gen_context(system_u:object_r:bin_t,s0) @@ -213,10 +223,12 @@ ifdef(`distro_gentoo',` /usr/lib(64)?/mailman/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/mailman/mail(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/mediawiki/math/texvc.* gen_context(system_u:object_r:bin_t,s0) +/usr/lib(64)?/misc/glibc/getconf/.* -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/misc/sftp-server -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/nagios/plugins(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/netsaint/plugins(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/news/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib?64)?/nspluginwrapper/.*/linux/npviewer(\.bin)? -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/nspluginwrapper/np.* gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/portage/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/pm-utils(/.*)? gen_context(system_u:object_r:bin_t,s0) @@ -235,6 +247,7 @@ ifdef(`distro_gentoo',` /usr/lib(64)?/xfce4/session/xfsm-shutdown-helper -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/xfce4/xfconf/xfconfd -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/xfce4/xfwm4/helper-dialog -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib(64)?/xulrunner-.*/plugin-container -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/debug/bin(/.*)? -- gen_context(system_u:object_r:bin_t,s0) /usr/lib(64)?/debug/sbin(/.*)? -- gen_context(system_u:object_r:bin_t,s0) @@ -269,6 +282,7 @@ ifdef(`distro_gentoo',` /usr/share/ajaxterm/qweb.py.* -- gen_context(system_u:object_r:bin_t,s0) /usr/share/apr-0/build/[^/]+\.sh -- gen_context(system_u:object_r:bin_t,s0) /usr/share/apr-0/build/libtool -- gen_context(system_u:object_r:bin_t,s0) +/usr/share/build-1/mkdir\.sh -- gen_context(system_u:object_r:bin_t,s0) /usr/share/dayplanner/dayplanner -- gen_context(system_u:object_r:bin_t,s0) /usr/share/debconf/.+ -- gen_context(system_u:object_r:bin_t,s0) /usr/share/denyhosts/scripts(/.*)? gen_context(system_u:object_r:bin_t,s0) @@ -282,6 +296,8 @@ ifdef(`distro_gentoo',` /usr/share/gitolite/hooks/gitolite-admin/post-update -- gen_context(system_u:object_r:bin_t,s0) /usr/share/gnucash/finance-quote-check -- gen_context(system_u:object_r:bin_t,s0) /usr/share/gnucash/finance-quote-helper -- gen_context(system_u:object_r:bin_t,s0) +/usr/share/GNUstep/Makefiles/*\.sh -- gen_context(system_u:object_r:bin_t,s0) +/usr/share/GNUstep/Makefiles/mkinstalldirs -- gen_context(system_u:object_r:bin_t,s0) /usr/share/hal/device-manager/hal-device-manager -- gen_context(system_u:object_r:bin_t,s0) /usr/share/hal/scripts(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/share/mc/extfs/.* -- gen_context(system_u:object_r:bin_t,s0) @@ -300,6 +316,7 @@ ifdef(`distro_gentoo',` /usr/share/shorewall-lite(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/share/shorewall6-lite(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/share/spamassassin/sa-update\.cron gen_context(system_u:object_r:bin_t,s0) +/usr/share/texmf/web2c/mktexdir -- gen_context(system_u:object_r:bin_t,s0) /usr/share/turboprint/lib(/.*)? -- gen_context(system_u:object_r:bin_t,s0) /usr/share/vhostmd/scripts(/.*)? gen_context(system_u:object_r:bin_t,s0) -- 1.7.3.4