From: russell@coker.com.au (Russell Coker) Date: Tue, 10 Jan 2017 18:30:05 +1100 Subject: [refpolicy] [PATCH] usrmerge Message-ID: <20170110073005.zagcy5zo3dus3bgn@athena.coker.com.au> To: refpolicy@oss.tresys.com List-Id: refpolicy.oss.tresys.com The following patch supports making /sbin, /lib*, and /bin symlinks to the same named directories under /usr. This change is accomplished in Debian by installing the "usrmerge" package and is apparently the default in Fedora. These changes have been tested in Debian and found to give the same labelling as the policy without this patch in almost all cases. The exceptions were files where the .fc files in question used one of /bin or /usr/bin that didn't match what was done in Debian. The small number of changes to the policy caused by this patch FIXED outstanding bugs. I expect that this won't give any changes to Fedora and it might fix some bugs for Gentoo and SUSE. What it does is remove all duplicates in /bin and /usr/bin etc and uses a subs_dist change to make the /usr change not affect policy. diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist --- /home/rjc/src/pol-git/config/file_contexts.subs_dist 2016-12-27 23:12:20.905413820 +1100 +++ ./config/file_contexts.subs_dist 2017-01-10 18:17:55.371528374 +1100 @@ -8,10 +8,14 @@ # It does not perform substitutions as done by sed(1), for # example, but aliasing. # +/bin /usr/bin +/lib /usr/lib +/lib32 /usr/lib +/lib64 /usr/lib +/libx32 /usr/libx32 +/sbin /usr/sbin /etc/init.d /etc/rc.d/init.d /lib/systemd /usr/lib/systemd -/lib32 /lib -/lib64 /lib /run/lock /var/lock /usr/lib32 /usr/lib /usr/lib64 /usr/lib diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc --- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc 2016-12-31 21:09:24.669504632 +1100 +++ ./policy/modules/admin/bootloader.fc 2017-01-10 17:58:32.497974441 +1100 @@ -8,9 +8,8 @@ /etc/yaboot\.conf.* -- gen_context(system_u:object_r:bootloader_etc_t,s0) /etc/grub.d(/.*)? -- gen_context(system_u:object_r:bootloader_etc_t,s0) -/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0) -/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) -/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) +/usr/sbin/lilo.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) +/usr/sbin/ybin.* -- gen_context(system_u:object_r:bootloader_exec_t,s0) /usr/sbin/grub -- gen_context(system_u:object_r:bootloader_exec_t,s0) /usr/sbin/grub2?-bios-setup -- gen_context(system_u:object_r:bootloader_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc --- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc 2016-12-31 21:09:24.669504632 +1100 +++ ./policy/modules/admin/consoletype.fc 2017-01-10 18:00:33.225777203 +1100 @@ -1,4 +1 @@ - -/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0) - /usr/sbin/consoletype -- gen_context(system_u:object_r:consoletype_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc --- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc 2016-12-31 21:09:24.669504632 +1100 +++ ./policy/modules/admin/dmesg.fc 2017-01-10 17:59:13.147255406 +1100 @@ -1,4 +1,2 @@ -/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0) - /usr/bin/dmesg -- gen_context(system_u:object_r:dmesg_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc --- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc 2016-12-31 21:09:24.669504632 +1100 +++ ./policy/modules/admin/netutils.fc 2017-01-10 17:58:32.497974441 +1100 @@ -1,8 +1,5 @@ -/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0) -/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0) -/bin/traceroute.* -- gen_context(system_u:object_r:traceroute_exec_t,s0) - -/sbin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0) +/usr/bin/ping.* -- gen_context(system_u:object_r:ping_exec_t,s0) +/usr/bin/tracepath.* -- gen_context(system_u:object_r:traceroute_exec_t,s0) /usr/bin/arping -- gen_context(system_u:object_r:netutils_exec_t,s0) /usr/bin/lft -- gen_context(system_u:object_r:traceroute_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc --- /home/rjc/src/pol-git/policy/modules/admin/su.fc 2016-12-31 21:09:24.669504632 +1100 +++ ./policy/modules/admin/su.fc 2017-01-10 17:58:32.497974441 +1100 @@ -1,5 +1,5 @@ -/bin/su -- gen_context(system_u:object_r:su_exec_t,s0) +/usr/bin/su -- gen_context(system_u:object_r:su_exec_t,s0) /usr/(local/)?bin/ksu -- gen_context(system_u:object_r:su_exec_t,s0) /usr/bin/kdesu -- gen_context(system_u:object_r:su_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc --- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc 2016-07-28 20:33:39.959961616 +1000 +++ ./policy/modules/admin/usermanage.fc 2017-01-10 17:58:34.106025127 +1100 @@ -1,7 +1,3 @@ -ifdef(`distro_gentoo',` -/bin/passwd -- gen_context(system_u:object_r:passwd_exec_t,s0) -') - ifdef(`distro_debian',` /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0) ') diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc --- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc 2016-07-30 08:14:41.065649021 +1000 +++ ./policy/modules/contrib/acct.fc 2017-01-10 17:58:34.106025127 +1100 @@ -2,8 +2,6 @@ /etc/rc\.d/init\.d/psacct -- gen_context(system_u:object_r:acct_initrc_exec_t,s0) -/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0) - /usr/sbin/accton -- gen_context(system_u:object_r:acct_exec_t,s0) /var/account(/.*)? gen_context(system_u:object_r:acct_data_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc --- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc 2016-08-22 21:43:27.015004974 +1000 +++ ./policy/modules/contrib/alsa.fc 2017-01-10 17:58:34.106025127 +1100 @@ -4,14 +4,9 @@ /\.config(/.*)? gen_context(system_u:object_r:alsa_var_lib_t,s0) ') -/bin/alsaunmute -- gen_context(system_u:object_r:alsa_exec_t,s0) - /etc/alsa(/.*)? gen_context(system_u:object_r:alsa_etc_t,s0) /etc/asound\.conf gen_context(system_u:object_r:alsa_etc_t,s0) -/sbin/alsactl -- gen_context(system_u:object_r:alsa_exec_t,s0) -/sbin/salsa -- gen_context(system_u:object_r:alsa_exec_t,s0) - # Systemd unit files /usr/lib/systemd/system/[^/]*alsa-restore.* -- gen_context(system_u:object_r:alsa_unit_t,s0) /usr/lib/systemd/system/[^/]*alsa-state.* -- gen_context(system_u:object_r:alsa_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc --- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc 2016-12-27 23:12:23.553486634 +1100 +++ ./policy/modules/contrib/apcupsd.fc 2017-01-10 17:58:34.106025127 +1100 @@ -1,7 +1,5 @@ /etc/rc\.d/init\.d/apcupsd -- gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0) -/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0) - /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0) /usr/sbin/apcupsd -- gen_context(system_u:object_r:apcupsd_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc --- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc 2016-12-27 23:12:23.553486634 +1100 +++ ./policy/modules/contrib/cachefilesd.fc 2017-01-10 17:58:34.106025127 +1100 @@ -1,7 +1,5 @@ /etc/rc\.d/init\.d/cachefilesd -- gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0) -/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0) - /usr/sbin/cachefilesd -- gen_context(system_u:object_r:cachefilesd_exec_t,s0) /var/cache/fscache(/.*)? gen_context(system_u:object_r:cachefilesd_cache_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc --- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc 2016-12-27 23:12:23.557486744 +1100 +++ ./policy/modules/contrib/ccs.fc 2017-01-10 17:58:34.106025127 +1100 @@ -2,8 +2,6 @@ /etc/rc\.d/init\.d/((ccs)|(ccsd)) -- gen_context(system_u:object_r:ccs_initrc_exec_t,s0) -/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0) - /usr/sbin/ccsd -- gen_context(system_u:object_r:ccs_exec_t,s0) /var/lib/cluster/((ccs)|(ccsd)).* gen_context(system_u:object_r:ccs_var_lib_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc --- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc 2016-12-27 23:12:23.557486744 +1100 +++ ./policy/modules/contrib/cgroup.fc 2017-01-10 17:58:34.110025253 +1100 @@ -7,10 +7,6 @@ /etc/rc\.d/init\.d/cgconfig -- gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0) /etc/rc\.d/init\.d/cgred -- gen_context(system_u:object_r:cgred_initrc_exec_t,s0) -/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0) -/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0) -/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0) - /usr/sbin/cgconfigparser -- gen_context(system_u:object_r:cgconfig_exec_t,s0) /usr/sbin/cgrulesengd -- gen_context(system_u:object_r:cgred_exec_t,s0) /usr/sbin/cgclear -- gen_context(system_u:object_r:cgclear_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc --- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc 2016-12-31 21:09:27.281585112 +1100 +++ ./policy/modules/contrib/cpucontrol.fc 2017-01-10 17:58:34.110025253 +1100 @@ -1,6 +1,4 @@ -/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0) - -/sbin/microcode_ctl -- gen_context(system_u:object_r:cpucontrol_exec_t,s0) +/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0) /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc --- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc 2016-12-31 21:09:27.281585112 +1100 +++ ./policy/modules/contrib/cups.fc 2017-01-10 17:58:35.146057909 +1100 @@ -18,8 +18,6 @@ /etc/printcap.* -- gen_context(system_u:object_r:cupsd_rw_etc_t,s0) -/lib/udev/udev-configure-printer -- gen_context(system_u:object_r:cupsd_config_exec_t,s0) - /opt/brother/Printers(.*/)?inf(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0) /opt/gutenprint/ppds(/.*)? gen_context(system_u:object_r:cupsd_rw_etc_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc --- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc 2016-12-27 23:12:23.561486854 +1100 +++ ./policy/modules/contrib/dbus.fc 2017-01-10 17:58:34.110025253 +1100 @@ -2,9 +2,7 @@ /etc/dbus-.*(/.*)? gen_context(system_u:object_r:dbusd_etc_t,s0) -/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0) - -/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0) +/usr/bin/dbus-daemon -- gen_context(system_u:object_r:dbusd_exec_t,s0) /usr/bin/dbus-daemon(-1)? -- gen_context(system_u:object_r:dbusd_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc --- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc 2016-12-27 23:12:23.565486964 +1100 +++ ./policy/modules/contrib/devicekit.fc 2017-01-10 17:58:35.146057909 +1100 @@ -1,6 +1,3 @@ -/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0) -/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0) - /usr/lib/udev/udisks-part-id -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0) /usr/lib/udisks2/udisksd -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0) /usr/lib/udisks/udisks-daemon -- gen_context(system_u:object_r:devicekit_disk_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc --- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc 2016-07-30 08:14:41.097649866 +1000 +++ ./policy/modules/contrib/drbd.fc 2017-01-10 17:58:34.110025253 +1100 @@ -1,8 +1,5 @@ /etc/rc\.d/init\.d/drbd -- gen_context(system_u:object_r:drbd_initrc_exec_t,s0) -/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0) -/sbin/drbdsetup -- gen_context(system_u:object_r:drbd_exec_t,s0) - /usr/lib/ocf/resource.\d/linbit/drbd -- gen_context(system_u:object_r:drbd_exec_t,s0) /usr/sbin/drbdadm -- gen_context(system_u:object_r:drbd_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc --- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc 2016-12-27 23:12:23.577487294 +1100 +++ ./policy/modules/contrib/iscsi.fc 2017-01-10 17:58:34.110025253 +1100 @@ -1,9 +1,5 @@ /etc/rc\.d/init\.d/((iscsi)|(iscsid)) -- gen_context(system_u:object_r:iscsi_initrc_exec_t,s0) -/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0) -/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0) -/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0) - /usr/sbin/iscsid -- gen_context(system_u:object_r:iscsid_exec_t,s0) /usr/sbin/brcm_iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0) /usr/sbin/iscsiuio -- gen_context(system_u:object_r:iscsid_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc --- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc 2016-08-07 19:54:37.787262067 +1000 +++ ./policy/modules/contrib/kdump.fc 2017-01-10 17:58:34.110025253 +1100 @@ -2,14 +2,9 @@ /etc/rc\.d/init\.d/kdump -- gen_context(system_u:object_r:kdump_initrc_exec_t,s0) -/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0) - /usr/bin/kdumpctl -- gen_context(system_u:object_r:kdumpctl_exec_t,s0) /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0) -/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0) -/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0) - /usr/sbin/kdump -- gen_context(system_u:object_r:kdump_exec_t,s0) /usr/sbin/kexec -- gen_context(system_u:object_r:kdump_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc --- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc 2016-12-27 23:12:23.577487294 +1100 +++ ./policy/modules/contrib/kudzu.fc 2017-01-10 17:58:34.110025253 +1100 @@ -1,8 +1,5 @@ /etc/rc\.d/init\.d/kudzu -- gen_context(system_u:object_r:kudzu_initrc_exec_t,s0) -/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0) -/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0) - /usr/sbin/kmodule -- gen_context(system_u:object_r:kudzu_exec_t,s0) /usr/sbin/kudzu -- gen_context(system_u:object_r:kudzu_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc --- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc 2017-01-10 17:57:41.780375375 +1100 +++ ./policy/modules/contrib/loadkeys.fc 2017-01-10 18:00:07.648971992 +1100 @@ -1,5 +1,2 @@ -/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0) -/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0) - /usr/bin/loadkeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0) /usr/bin/unikeys -- gen_context(system_u:object_r:loadkeys_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc --- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc 2016-07-30 08:14:41.121650499 +1000 +++ ./policy/modules/contrib/mta.fc 2017-01-10 17:58:35.118057026 +1100 @@ -5,8 +5,6 @@ HOME_DIR/Maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0) HOME_DIR/\.maildir(/.*)? gen_context(system_u:object_r:mail_home_rw_t,s0) -/bin/mail(x)? -- gen_context(system_u:object_r:sendmail_exec_t,s0) - /etc/aliases -- gen_context(system_u:object_r:etc_aliases_t,s0) /etc/aliases\.db -- gen_context(system_u:object_r:etc_aliases_t,s0) /etc/mail(/.*)? gen_context(system_u:object_r:etc_mail_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc --- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc 2016-12-27 23:12:23.597487844 +1100 +++ ./policy/modules/contrib/networkmanager.fc 2017-01-10 17:58:35.118057026 +1100 @@ -21,9 +21,6 @@ /usr/lib/systemd/system/[^/]*NetworkManager.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0) /usr/lib/systemd/system/[^/]*wpa_supplicant.* -- gen_context(system_u:object_r:NetworkManager_unit_t,s0) -/sbin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0) -/sbin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0) - /usr/bin/NetworkManager -- gen_context(system_u:object_r:NetworkManager_exec_t,s0) /usr/bin/wpa_cli -- gen_context(system_u:object_r:wpa_cli_exec_t,s0) /usr/bin/wpa_supplicant -- gen_context(system_u:object_r:NetworkManager_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc --- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc 2016-12-27 23:12:23.597487844 +1100 +++ ./policy/modules/contrib/nis.fc 2017-01-10 17:58:35.118057026 +1100 @@ -5,8 +5,6 @@ /etc/ypserv\.conf -- gen_context(system_u:object_r:ypserv_conf_t,s0) -/sbin/ypbind -- gen_context(system_u:object_r:ypbind_exec_t,s0) - /usr/lib/yp/ypxfr -- gen_context(system_u:object_r:ypxfr_exec_t,s0) /usr/lib/systemd/system/ypbind.*\.service -- gen_context(system_u:object_r:ypbind_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc --- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc 2016-12-27 23:12:23.601487954 +1100 +++ ./policy/modules/contrib/nut.fc 2017-01-10 17:58:35.122057152 +1100 @@ -4,10 +4,6 @@ /etc/rc\.d/init\.d/nut-driver -- gen_context(system_u:object_r:nut_initrc_exec_t,s0) /etc/rc\.d/init\.d/nut-server -- gen_context(system_u:object_r:nut_initrc_exec_t,s0) -/sbin/upsd -- gen_context(system_u:object_r:nut_upsd_exec_t,s0) -/sbin/upsdrvctl -- gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0) -/sbin/upsmon -- gen_context(system_u:object_r:nut_upsmon_exec_t,s0) - /usr/lib/cgi-bin/nut/upsimage\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0) /usr/lib/cgi-bin/nut/upsset\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0) /usr/lib/cgi-bin/nut/upsstats\.cgi -- gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc --- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc 2016-12-27 23:12:23.601487954 +1100 +++ ./policy/modules/contrib/oddjob.fc 2017-01-10 17:58:35.122057152 +1100 @@ -1,5 +1,3 @@ -/sbin/mkhomedir_helper -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0) - /usr/lib/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0) /usr/libexec/oddjob/mkhomedir -- gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc --- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc 2016-12-27 23:12:23.601487954 +1100 +++ ./policy/modules/contrib/pcmcia.fc 2017-01-10 17:58:35.122057152 +1100 @@ -1,8 +1,5 @@ /etc/apm/event\.d/pcmcia -- gen_context(system_u:object_r:cardmgr_exec_t,s0) -/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0) -/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0) - /usr/sbin/cardctl -- gen_context(system_u:object_r:cardctl_exec_t,s0) /usr/sbin/cardmgr -- gen_context(system_u:object_r:cardmgr_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc --- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc 2016-12-27 23:12:23.605488064 +1100 +++ ./policy/modules/contrib/plymouthd.fc 2017-01-10 17:58:35.122057152 +1100 @@ -1,7 +1,3 @@ -/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0) - -/sbin/plymouthd -- gen_context(system_u:object_r:plymouthd_exec_t,s0) - /usr/bin/plymouth -- gen_context(system_u:object_r:plymouth_exec_t,s0) # Systemd unit file diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc --- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc 2016-12-27 23:12:23.605488064 +1100 +++ ./policy/modules/contrib/portmap.fc 2017-01-10 17:58:35.122057152 +1100 @@ -1,9 +1,5 @@ /etc/rc\.d/init\.d/portmap -- gen_context(system_u:object_r:portmap_initrc_exec_t,s0) -/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0) -/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0) -/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0) - /usr/sbin/pmap_dump -- gen_context(system_u:object_r:portmap_helper_exec_t,s0) /usr/sbin/pmap_set -- gen_context(system_u:object_r:portmap_helper_exec_t,s0) /usr/sbin/portmap -- gen_context(system_u:object_r:portmap_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc --- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc 2016-12-27 23:12:23.605488064 +1100 +++ ./policy/modules/contrib/portreserve.fc 2017-01-10 17:58:35.122057152 +1100 @@ -2,8 +2,6 @@ /etc/rc\.d/init\.d/portreserve -- gen_context(system_u:object_r:portreserve_initrc_exec_t,s0) -/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0) - /usr/sbin/portreserve -- gen_context(system_u:object_r:portreserve_exec_t,s0) /run/portreserve(/.*)? gen_context(system_u:object_r:portreserve_var_run_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc --- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc 2016-12-27 23:12:23.605488064 +1100 +++ ./policy/modules/contrib/ppp.fc 2017-01-10 17:58:35.126057278 +1100 @@ -9,9 +9,6 @@ /etc/ppp/resolv\.conf -- gen_context(system_u:object_r:pppd_etc_rw_t,s0) /etc/ppp/(auth|ip(v6|x)?)-(up|down) -- gen_context(system_u:object_r:pppd_initrc_exec_t,s0) -/sbin/ppp-watch -- gen_context(system_u:object_r:pppd_exec_t,s0) -/sbin/pppoe-server -- gen_context(system_u:object_r:pppd_exec_t,s0) - /usr/lib/systemd/system/ppp.*\.service -- gen_context(system_u:object_r:pppd_unit_t,s0) /usr/sbin/ipppd -- gen_context(system_u:object_r:pppd_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc --- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc 2016-12-27 23:12:23.605488064 +1100 +++ ./policy/modules/contrib/prelude.fc 2017-01-10 17:58:35.126057278 +1100 @@ -4,8 +4,6 @@ /etc/rc\.d/init\.d/prelude-lml -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0) /etc/rc\.d/init\.d/prelude-manager -- gen_context(system_u:object_r:prelude_initrc_exec_t,s0) -/sbin/audisp-prelude -- gen_context(system_u:object_r:prelude_audisp_exec_t,s0) - /usr/bin/prelude-correlator -- gen_context(system_u:object_r:prelude_correlator_exec_t,s0) /usr/bin/prelude-lml -- gen_context(system_u:object_r:prelude_lml_exec_t,s0) /usr/bin/prelude-manager -- gen_context(system_u:object_r:prelude_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc --- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc 2016-12-27 23:12:23.609488174 +1100 +++ ./policy/modules/contrib/quota.fc 2017-01-10 17:58:35.126057278 +1100 @@ -10,9 +10,6 @@ /etc/rc\.d/init\.d/quota_nld -- gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0) -/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0) -/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0) - /usr/sbin/convertquota -- gen_context(system_u:object_r:quota_exec_t,s0) /usr/sbin/quota(check|on) -- gen_context(system_u:object_r:quota_exec_t,s0) /usr/sbin/quota_nld -- gen_context(system_u:object_r:quota_nld_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc --- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc 2016-12-27 23:12:23.609488174 +1100 +++ ./policy/modules/contrib/raid.fc 2017-01-10 17:58:35.126057278 +1100 @@ -3,14 +3,6 @@ /etc/rc\.d/init\.d/mdmonitor -- gen_context(system_u:object_r:mdadm_initrc_exec_t,s0) -/sbin/iprdump -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/iprinit -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/iprupdate -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/mdadm -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/mdmon -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/mdmpd -- gen_context(system_u:object_r:mdadm_exec_t,s0) -/sbin/raid-check -- gen_context(system_u:object_r:mdadm_exec_t,s0) - # Systemd unit files /usr/lib/systemd/system/[^/]*mdadm-.* -- gen_context(system_u:object_r:mdadm_unit_t,s0) /usr/lib/systemd/system/[^/]*mdmon.* -- gen_context(system_u:object_r:mdadm_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc --- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc 2016-07-30 08:14:41.141651028 +1000 +++ ./policy/modules/contrib/rdisc.fc 2017-01-10 17:58:35.126057278 +1100 @@ -1,3 +1 @@ -/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0) - /usr/sbin/rdisc -- gen_context(system_u:object_r:rdisc_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc --- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc 2016-12-27 23:12:23.609488174 +1100 +++ ./policy/modules/contrib/readahead.fc 2017-01-10 17:58:35.126057278 +1100 @@ -1,5 +1,3 @@ -/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0) - /usr/sbin/readahead.* -- gen_context(system_u:object_r:readahead_exec_t,s0) /var/lib/readahead(/.*)? gen_context(system_u:object_r:readahead_var_lib_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc --- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc 2016-12-27 23:12:23.609488174 +1100 +++ ./policy/modules/contrib/resmgr.fc 2017-01-10 17:58:35.126057278 +1100 @@ -2,8 +2,6 @@ /etc/rc\.d/init\.d/resmgr -- gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0) -/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0) - /usr/sbin/resmgrd -- gen_context(system_u:object_r:resmgrd_exec_t,s0) /run/\.resmgr_socket -s gen_context(system_u:object_r:resmgrd_var_run_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc --- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc 2016-12-27 23:12:23.613488284 +1100 +++ ./policy/modules/contrib/rpcbind.fc 2017-01-10 17:58:35.130057404 +1100 @@ -1,7 +1,5 @@ /etc/rc\.d/init\.d/rpcbind -- gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0) -/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0) - /usr/sbin/rpcbind -- gen_context(system_u:object_r:rpcbind_exec_t,s0) /var/cache/rpcbind(/.*)? gen_context(system_u:object_r:rpcbind_var_lib_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc --- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc 2016-12-27 23:12:23.613488284 +1100 +++ ./policy/modules/contrib/rpc.fc 2017-01-10 17:58:35.130057404 +1100 @@ -4,9 +4,6 @@ /etc/rc\.d/init\.d/nfslock -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0) /etc/rc\.d/init\.d/rpcidmapd -- gen_context(system_u:object_r:rpcd_initrc_exec_t,s0) -/sbin/rpc\..* -- gen_context(system_u:object_r:rpcd_exec_t,s0) -/sbin/sm-notify -- gen_context(system_u:object_r:rpcd_exec_t,s0) - /usr/lib/systemd/system/nfs.*\.service -- gen_context(system_u:object_r:nfsd_unit_t,s0) /usr/lib/systemd/system/rpc.*\.service -- gen_context(system_u:object_r:rpcd_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc --- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc 2016-12-31 21:09:27.285585236 +1100 +++ ./policy/modules/contrib/rpm.fc 2017-01-10 17:58:35.130057404 +1100 @@ -1,8 +1,6 @@ -/bin/rpm -- gen_context(system_u:object_r:rpm_exec_t,s0) - /etc/rc\.d/init\.d/bcfg2 -- gen_context(system_u:object_r:rpm_initrc_exec_t,s0) -/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0) +/usr/sbin/yast2 -- gen_context(system_u:object_r:rpm_exec_t,s0) /usr/bin/debuginfo-install -- gen_context(system_u:object_r:debuginfo_exec_t,s0) /usr/bin/fedora-rmdevelrpms -- gen_context(system_u:object_r:rpm_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc --- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc 2016-07-30 08:14:41.149651239 +1000 +++ ./policy/modules/contrib/shorewall.fc 2017-01-10 17:58:35.130057404 +1100 @@ -3,9 +3,6 @@ /etc/shorewall(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0) /etc/shorewall-lite(/.*)? gen_context(system_u:object_r:shorewall_etc_t,s0) -/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0) -/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0) - /usr/sbin/shorewall6? -- gen_context(system_u:object_r:shorewall_exec_t,s0) /usr/sbin/shorewall-lite -- gen_context(system_u:object_r:shorewall_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc --- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc 2016-12-27 23:12:23.613488284 +1100 +++ ./policy/modules/contrib/shutdown.fc 2017-01-10 17:58:35.130057404 +1100 @@ -1,9 +1,5 @@ /etc/nologin -- gen_context(system_u:object_r:shutdown_etc_t,s0) -/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0) - -/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0) - /usr/lib/upstart/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0) /usr/sbin/shutdown -- gen_context(system_u:object_r:shutdown_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc --- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc 2016-07-30 08:14:41.157651450 +1000 +++ ./policy/modules/contrib/usbmodules.fc 2017-01-10 17:58:35.130057404 +1100 @@ -1,3 +1 @@ -/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0) - /usr/sbin/usbmodules -- gen_context(system_u:object_r:usbmodules_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc --- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc 2016-12-27 23:12:23.621488504 +1100 +++ ./policy/modules/contrib/vpn.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,5 +1,3 @@ -/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0) - /usr/bin/openconnect -- gen_context(system_u:object_r:vpnc_exec_t,s0) /usr/sbin/vpnc -- gen_context(system_u:object_r:vpnc_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc --- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc 2016-07-30 08:14:41.165651661 +1000 +++ ./policy/modules/contrib/zosremote.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,3 +1 @@ -/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0) - /usr/sbin/audispd-zos-remote -- gen_context(system_u:object_r:zos_remote_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc 2016-12-31 21:09:24.673504756 +1100 +++ ./policy/modules/kernel/corecommands.fc 2017-01-10 18:02:00.404520096 +1100 @@ -1,19 +1,17 @@ # # /bin # -/bin -d gen_context(system_u:object_r:bin_t,s0) -/bin/.* gen_context(system_u:object_r:bin_t,s0) -/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/fish -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0) -/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/tcsh -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0) -/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin gen_context(system_u:object_r:bin_t,s0) +/usr/bin/.* gen_context(system_u:object_r:bin_t,s0) +/usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/ksh.* -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/mksh -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/mountpoint -- gen_context(system_u:object_r:bin_t,s0) +/usr/bin/sash -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0) # # /dev @@ -131,30 +129,30 @@ # /lib # -/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0) -/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0) -/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0) -/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/nut/.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/readahead(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/udev/[^/]* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/udev/scsi_id -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/upstart(/.*)? gen_context(system_u:object_r:bin_t,s0) ifdef(`distro_gentoo',` -/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/dhcpcd/dhcpcd-run-hooks -- gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0) -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/addons(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/sh(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0) +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0) ') # # /sbin # -/sbin -d gen_context(system_u:object_r:bin_t,s0) -/sbin/.* gen_context(system_u:object_r:bin_t,s0) -/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0) -/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0) -/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0) +/usr/sbin gen_context(system_u:object_r:bin_t,s0) +/usr/sbin/.* gen_context(system_u:object_r:bin_t,s0) +/usr/sbin/insmod_ksymoops_clean -- gen_context(system_u:object_r:bin_t,s0) +/usr/sbin/mkfs\.cramfs -- gen_context(system_u:object_r:bin_t,s0) +/usr/sbin/nologin -- gen_context(system_u:object_r:shell_exec_t,s0) # # /opt @@ -181,7 +179,7 @@ # /usr # /usr/(.*/)?Bin(/.*)? gen_context(system_u:object_r:bin_t,s0) -/usr/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/bin/d?ash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/bash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/bash2 -- gen_context(system_u:object_r:shell_exec_t,s0) @@ -196,10 +194,10 @@ /usr/bin/yash -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/bin/zsh.* -- gen_context(system_u:object_r:shell_exec_t,s0) -/usr/lib(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/(.*/)?bin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) -/usr/lib(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/lib/(.*/)?sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib/at-spi2-core(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/lib/avahi/avahi-daemon-check-dns\.sh -- gen_context(system_u:object_r:bin_t,s0) @@ -284,14 +282,14 @@ /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0) /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0) -/usr/lib/xen/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) - /usr/libexec(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/libexec/git-core/git-shell -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/libexec/sesh -- gen_context(system_u:object_r:shell_exec_t,s0) /usr/libexec/openssh/sftp-server -- gen_context(system_u:object_r:bin_t,s0) +/usr/local/bin(/.*)? gen_context(system_u:object_r:bin_t,s0) +/usr/local/sbin(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/Brother(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/Printer(/.*)? gen_context(system_u:object_r:bin_t,s0) /usr/local/linuxprinter/filters(/.*)? gen_context(system_u:object_r:bin_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc --- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc 2017-01-10 17:57:39.236295140 +1100 +++ ./policy/modules/kernel/corenetwork.fc 2017-01-10 18:02:39.949763456 +1100 @@ -5,8 +5,5 @@ /dev/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) -/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0) -/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) - /usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0) /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc --- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc 2016-12-31 21:09:24.673504756 +1100 +++ ./policy/modules/kernel/devices.fc 2017-01-10 17:58:35.146057909 +1100 @@ -194,10 +194,10 @@ /etc/udev/devices -d gen_context(system_u:object_r:device_t,s0) # used by init scripts to initally populate udev /dev -/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0) -/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0) -/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0) -/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0) +/usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0) +/usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0) +/usr/lib/udev/devices/null -c gen_context(system_u:object_r:null_device_t,s0) +/usr/lib/udev/devices/zero -c gen_context(system_u:object_r:zero_device_t,s0) /usr/lib/udev/devices(/.*)? gen_context(system_u:object_r:device_t,s0) /usr/lib/udev/devices/lp.* -c gen_context(system_u:object_r:printer_device_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc --- /home/rjc/src/pol-git/policy/modules/kernel/files.fc 2016-12-31 21:09:24.673504756 +1100 +++ ./policy/modules/kernel/files.fc 2017-01-10 18:03:25.659199980 +1100 @@ -106,12 +106,12 @@ # # /lib(64)? # -/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0) +/usr/lib/modules(/.*)? gen_context(system_u:object_r:modules_object_t,s0) ifdef(`distro_debian',` # on Debian /lib/init/rw is a tmpfs used like /var/run but # before /var is mounted -/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh) +/usr/lib/init/rw(/.*)? gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh) ') # diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc --- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc 2016-12-31 21:09:24.673504756 +1100 +++ ./policy/modules/kernel/filesystem.fc 2017-01-10 17:58:35.150058035 +1100 @@ -6,10 +6,10 @@ /dev/shm -d gen_context(system_u:object_r:tmpfs_t,s0) /dev/shm/.* <> -/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0) -/lib/udev/devices/hugepages/.* <> -/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0) -/lib/udev/devices/shm/.* <> +/usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0) +/usr/lib/udev/devices/hugepages/.* <> +/usr/lib/udev/devices/shm -d gen_context(system_u:object_r:tmpfs_t,s0) +/usr/lib/udev/devices/shm/.* <> /usr/lib/udev/devices/hugepages -d gen_context(system_u:object_r:hugetlbfs_t,s0) /usr/lib/udev/devices/hugepages/.* <> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc --- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc 2016-12-31 21:09:24.677504879 +1100 +++ ./policy/modules/kernel/storage.fc 2017-01-10 18:04:16.428794725 +1100 @@ -83,8 +83,5 @@ /dev/usb/rio500 -c gen_context(system_u:object_r:removable_device_t,s0) -/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh) -/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0) - /usr/lib/udev/devices/loop.* -b gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh) /usr/lib/udev/devices/fuse -c gen_context(system_u:object_r:fuse_device_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc --- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc 2017-01-10 17:57:39.236295140 +1100 +++ ./policy/modules/kernel/terminal.fc 2017-01-10 17:58:35.762077323 +1100 @@ -41,5 +41,5 @@ /dev/tts/[0-9]+ -c gen_context(system_u:object_r:tty_device_t,s0) # used by init scripts to initally populate udev /dev -/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0) +/usr/lib/udev/devices/console -c gen_context(system_u:object_r:console_device_t,s0) ') diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc --- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc 2016-12-31 21:09:24.677504879 +1100 +++ ./policy/modules/system/authlogin.fc 2017-01-10 18:07:41.183333055 +1100 @@ -1,5 +1,5 @@ -/bin/login -- gen_context(system_u:object_r:login_exec_t,s0) +/usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0) /etc/\.pwd\.lock -- gen_context(system_u:object_r:shadow_t,s0) /etc/group\.lock -- gen_context(system_u:object_r:shadow_t,s0) @@ -7,13 +7,10 @@ /etc/passwd\.lock -- gen_context(system_u:object_r:shadow_t,s0) /etc/shadow.* -- gen_context(system_u:object_r:shadow_t,s0) -/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0) -/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0) -/sbin/unix_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) -/sbin/unix_update -- gen_context(system_u:object_r:updpwd_exec_t,s0) -/sbin/unix_verify -- gen_context(system_u:object_r:chkpwd_exec_t,s0) +/usr/sbin/pam_console_apply -- gen_context(system_u:object_r:pam_console_exec_t,s0) +/usr/sbin/pam_timestamp_check -- gen_context(system_u:object_r:pam_exec_t,s0) ifdef(`distro_suse', ` -/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) +/usr/sbin/unix2_chkpwd -- gen_context(system_u:object_r:chkpwd_exec_t,s0) ') /usr/bin/login -- gen_context(system_u:object_r:login_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc --- /home/rjc/src/pol-git/policy/modules/system/clock.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/clock.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,6 +1,6 @@ /etc/adjtime -- gen_context(system_u:object_r:adjtime_t,s0) -/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0) +/usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0) /usr/sbin/hwclock -- gen_context(system_u:object_r:hwclock_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc --- /home/rjc/src/pol-git/policy/modules/system/fstools.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/fstools.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,47 +1,42 @@ -/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/fsck.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkfs.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/parted -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/partprobe -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/partx -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0) -/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/badblocks -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/blkid -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/blockdev -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/cfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/dosfsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/dump -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/dumpe2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/e2fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/e4fsck -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/e2label -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/fdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/findfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/hdparm -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/install-mbr -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/jfs_.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/losetup.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/lsraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/make_reiser4 -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mkdosfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mke2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mke4fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mkraid -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mkreiserfs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/mkswap -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/raidautorun -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/raidstart -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/reiserfs(ck|tune) -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/resize.*fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/scsi_info -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/sfdisk -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/swapoff -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/swapon.* -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/tune2fs -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/zdb -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/zhack -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/zinject -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/zpios -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/zstreamdump -- gen_context(system_u:object_r:fsadm_exec_t,s0) +/usr/sbin/ztest -- gen_context(system_u:object_r:fsadm_exec_t,s0) /usr/bin/partition_uuid -- gen_context(system_u:object_r:fsadm_exec_t,s0) /usr/bin/raw -- gen_context(system_u:object_r:fsadm_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc --- /home/rjc/src/pol-git/policy/modules/system/getty.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/getty.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,7 +1,7 @@ /etc/mgetty(/.*)? gen_context(system_u:object_r:getty_etc_t,s0) -/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0) +/usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0) /usr/sbin/.*getty -- gen_context(system_u:object_r:getty_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc --- /home/rjc/src/pol-git/policy/modules/system/hostname.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/hostname.fc 2017-01-10 17:58:35.134057530 +1100 @@ -1,4 +1,4 @@ -/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0) +/usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0) /usr/bin/hostname -- gen_context(system_u:object_r:hostname_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc --- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/hotplug.fc 2017-01-10 17:58:35.138057656 +1100 @@ -7,8 +7,8 @@ /run/usb(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0) /run/hotplug(/.*)? gen_context(system_u:object_r:hotplug_var_run_t,s0) -/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0) -/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0) +/usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0) +/usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0) /usr/sbin/hotplug -- gen_context(system_u:object_r:hotplug_exec_t,s0) /usr/sbin/netplugd -- gen_context(system_u:object_r:hotplug_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc --- /home/rjc/src/pol-git/policy/modules/system/init.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/init.fc 2017-01-10 17:58:35.138057656 +1100 @@ -22,21 +22,17 @@ # # /lib # -/lib/systemd/systemd -- gen_context(system_u:object_r:init_exec_t,s0) ifdef(`distro_gentoo', ` -/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0) +/usr/lib/rc/init\.d(/.*)? gen_context(system_u:object_r:initrc_state_t,s0) ') # # /sbin # -/sbin/init(ng)? -- gen_context(system_u:object_r:init_exec_t,s0) -# because nowadays, /sbin/init is often a symlink to /sbin/upstart -/sbin/upstart -- gen_context(system_u:object_r:init_exec_t,s0) ifdef(`distro_gentoo', ` -/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0) +/usr/sbin/rc -- gen_context(system_u:object_r:rc_exec_t,s0) ') # diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc --- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc 2016-12-27 23:12:20.925414371 +1100 +++ ./policy/modules/system/ipsec.fc 2017-01-10 17:58:35.138057656 +1100 @@ -18,8 +18,6 @@ /etc/swanctl -d gen_context(system_u:object_r:ipsec_conf_file_t,s0) /etc/swanctl/swanctl.conf -- gen_context(system_u:object_r:ipsec_conf_file_t,s0) -/sbin/setkey -- gen_context(system_u:object_r:setkey_exec_t,s0) - /usr/lib/ipsec/_plutoload -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0) /usr/lib/ipsec/_plutorun -- gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0) /usr/lib/ipsec/eroute -- gen_context(system_u:object_r:ipsec_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc --- /home/rjc/src/pol-git/policy/modules/system/iptables.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/iptables.fc 2017-01-10 17:58:35.138057656 +1100 @@ -4,18 +4,16 @@ /etc/sysconfig/ip6?tables.* -- gen_context(system_u:object_r:iptables_conf_t,s0) /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0) -/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipchains.* -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipset -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0) -/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ebtables -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ebtables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ip6?tables -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ip6?tables-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ip6?tables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ipvsadm -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ipvsadm-restore -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/ipvsadm-save -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/nft -- gen_context(system_u:object_r:iptables_exec_t,s0) +/usr/sbin/xtables-multi -- gen_context(system_u:object_r:iptables_exec_t,s0) /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0) /usr/lib/systemd/system/[^/]*ebtables.* -- gen_context(system_u:object_r:iptables_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc --- /home/rjc/src/pol-git/policy/modules/system/libraries.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/libraries.fc 2017-01-10 17:58:35.138057656 +1100 @@ -35,12 +35,13 @@ # # /lib(64)? # -/lib -d gen_context(system_u:object_r:lib_t,s0) -/lib -l gen_context(system_u:object_r:lib_t,s0) -/lib/.* gen_context(system_u:object_r:lib_t,s0) -/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0) +/usr/lib gen_context(system_u:object_r:lib_t,s0) +/usr/lib64 gen_context(system_u:object_r:lib_t,s0) +/usr/lib/.* gen_context(system_u:object_r:lib_t,s0) +/usr/lib64/.* gen_context(system_u:object_r:lib_t,s0) +/usr/lib/ld-[^/]*\.so(\.[^/]*)* -- gen_context(system_u:object_r:ld_so_t,s0) -/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0) +/usr/lib/security/pam_poldi\.so -- gen_context(system_u:object_r:textrel_shlib_t,s0) # # /opt @@ -93,7 +94,7 @@ # # /sbin # -/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0) +/usr/sbin/ldconfig -- gen_context(system_u:object_r:ldconfig_exec_t,s0) # # /usr @@ -108,7 +109,7 @@ /usr/(.*/)?lib(/.*)? gen_context(system_u:object_r:lib_t,s0) /usr/(.*/)?lib64(/.*)? gen_context(system_u:object_r:lib_t,s0) -/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0) +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0) /usr/(.*/)?nvidia/.+\.so(\..*)? -- gen_context(system_u:object_r:textrel_shlib_t,s0) @@ -166,10 +167,6 @@ /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0) -ifdef(`distro_debian',` -/usr/lib -l gen_context(system_u:object_r:lib_t,s0) -') - ifdef(`distro_gentoo',` /usr/lib -l gen_context(system_u:object_r:lib_t,s0) ') diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc --- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/locallogin.fc 2017-01-10 17:58:35.138057656 +1100 @@ -1,6 +1,6 @@ -/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0) -/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0) +/usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0) +/usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0) /usr/sbin/sulogin -- gen_context(system_u:object_r:sulogin_exec_t,s0) /usr/sbin/sushell -- gen_context(system_u:object_r:sulogin_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc --- /home/rjc/src/pol-git/policy/modules/system/logging.fc 2016-12-31 21:09:24.681505002 +1100 +++ ./policy/modules/system/logging.fc 2017-01-10 17:58:35.138057656 +1100 @@ -6,17 +6,6 @@ /etc/rc\.d/init\.d/auditd -- gen_context(system_u:object_r:auditd_initrc_exec_t,s0) /etc/rc\.d/init\.d/rsyslog -- gen_context(system_u:object_r:syslogd_initrc_exec_t,s0) -/sbin/audispd -- gen_context(system_u:object_r:audisp_exec_t,s0) -/sbin/audisp-remote -- gen_context(system_u:object_r:audisp_remote_exec_t,s0) -/sbin/auditctl -- gen_context(system_u:object_r:auditctl_exec_t,s0) -/sbin/auditd -- gen_context(system_u:object_r:auditd_exec_t,s0) -/sbin/klogd -- gen_context(system_u:object_r:klogd_exec_t,s0) -/sbin/minilogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/rklogd -- gen_context(system_u:object_r:klogd_exec_t,s0) -/sbin/rsyslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/syslogd -- gen_context(system_u:object_r:syslogd_exec_t,s0) -/sbin/syslog-ng -- gen_context(system_u:object_r:syslogd_exec_t,s0) - /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0) /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0) /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc --- /home/rjc/src/pol-git/policy/modules/system/lvm.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/lvm.fc 2017-01-10 17:58:35.142057783 +1100 @@ -7,7 +7,7 @@ # /bin # ifdef(`distro_gentoo',` -/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/bin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) ') # @@ -26,65 +26,64 @@ # # /lib # -/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) -/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) -/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/lib/lvm-10/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/lib/lvm-200/.* -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/lib/udev/udisks-lvm-pv-export -- gen_context(system_u:object_r:lvm_exec_t,s0) # # /sbin # -/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvm -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0) -/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/cryptsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/dmraid -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/dmsetup -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/dmsetup\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/e2fsadm -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvextend -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvm\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvmchange -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvmdiskscan -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvmiopversion -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvmsadc -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvmsar -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvrename -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvresize -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvs -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/lvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/multipathd -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/multipath\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvchange -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvdata -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvmove -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvremove -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvs -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/pvscan -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgcfgbackup -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgcfgrestore -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgchange -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgchange\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgck -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgcreate -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgdisplay -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgexport -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgextend -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgimport -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgmerge -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgmknodes -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgreduce -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgremove -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgrename -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgs -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgscan -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgscan\.static -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgsplit -- gen_context(system_u:object_r:lvm_exec_t,s0) +/usr/sbin/vgwrapper -- gen_context(system_u:object_r:lvm_exec_t,s0) # # /usr diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc --- /home/rjc/src/pol-git/policy/modules/system/modutils.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/modutils.fc 2017-01-10 18:09:53.291691208 +1100 @@ -1,5 +1,3 @@ -/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0) - /etc/modules\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0) /etc/modprobe\.conf.* -- gen_context(system_u:object_r:modules_conf_t,s0) /etc/modprobe\.d(/.*)? gen_context(system_u:object_r:modules_conf_t,s0) @@ -10,20 +8,8 @@ /etc/modprobe.devfs.* -- gen_context(system_u:object_r:modules_conf_t,s0) ') -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0) - -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0) - /run/tmpfiles.d(/.*)? gen_context(system_u:object_r:kmod_var_run_t,s0) -/sbin/depmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/insmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/modprobe.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/modules-update -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/rmmod.* -- gen_context(system_u:object_r:kmod_exec_t,s0) -/sbin/update-modules -- gen_context(system_u:object_r:kmod_exec_t,s0) - /usr/bin/kmod -- gen_context(system_u:object_r:kmod_exec_t,s0) /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc --- /home/rjc/src/pol-git/policy/modules/system/mount.fc 2017-01-10 17:57:39.244295392 +1100 +++ ./policy/modules/system/mount.fc 2017-01-10 18:10:39.753222015 +1100 @@ -1,11 +1,3 @@ -/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0) -/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0) -/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0) - -/sbin/mount\.zfs -- gen_context(system_u:object_r:mount_exec_t,s0) -/sbin/zfs -- gen_context(system_u:object_r:mount_exec_t,s0) -/sbin/zpool -- gen_context(system_u:object_r:mount_exec_t,s0) - /usr/bin/fusermount -- gen_context(system_u:object_r:mount_exec_t,s0) /usr/bin/mount.* -- gen_context(system_u:object_r:mount_exec_t,s0) /usr/bin/umount.* -- gen_context(system_u:object_r:mount_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc --- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/netlabel.fc 2017-01-10 17:58:35.142057783 +1100 @@ -1,3 +1,3 @@ -/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0) +/usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0) /usr/sbin/netlabelctl -- gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc --- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/selinuxutil.fc 2017-01-10 17:58:35.142057783 +1100 @@ -22,9 +22,7 @@ # # /sbin # -/sbin/load_policy -- gen_context(system_u:object_r:load_policy_exec_t,s0) -/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0) -/sbin/setfiles.* -- gen_context(system_u:object_r:setfiles_exec_t,s0) +/usr/sbin/restorecon -- gen_context(system_u:object_r:setfiles_exec_t,s0) # # /usr diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc --- /home/rjc/src/pol-git/policy/modules/system/setrans.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/setrans.fc 2017-01-10 17:58:35.142057783 +1100 @@ -2,7 +2,7 @@ /run/setrans(/.*)? gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh) -/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0) +/usr/sbin/mcstransd -- gen_context(system_u:object_r:setrans_exec_t,s0) /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/sysnetwork.fc 2017-01-10 18:16:40.301068723 +1100 @@ -1,11 +1,5 @@ # -# /bin -# -/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/bin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0) - -# # /dev # ifdef(`distro_debian',` @@ -37,24 +31,6 @@ ') # -# /sbin -# -/sbin/dhclient.* -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/dhcdbd -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/dhcpcd -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/ethtool -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ip -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_configure -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_interface -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/ipx_internal_net -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/iw -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/iwconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/mii-tool -- gen_context(system_u:object_r:ifconfig_exec_t,s0) -/sbin/pump -- gen_context(system_u:object_r:dhcpc_exec_t,s0) -/sbin/tc -- gen_context(system_u:object_r:ifconfig_exec_t,s0) - -# # /usr # /usr/bin/ifconfig -- gen_context(system_u:object_r:ifconfig_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc --- /home/rjc/src/pol-git/policy/modules/system/systemd.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/systemd.fc 2017-01-10 18:18:57.213552868 +1100 @@ -1,13 +1,3 @@ -/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0) -/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0) -/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0) -/bin/systemd-detect-virt -- gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0) -/bin/systemd-nspawn -- gen_context(system_u:object_r:systemd_nspawn_exec_t,s0) -/bin/systemd-run -- gen_context(system_u:object_r:systemd_run_exec_t,s0) -/bin/systemd-stdio-bridge -- gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0) -/bin/systemd-tmpfiles -- gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0) -/bin/systemd-tty-ask-password-agent -- gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0) - /usr/bin/systemd-analyze -- gen_context(system_u:object_r:systemd_analyze_exec_t,s0) /usr/bin/systemd-cgtop -- gen_context(system_u:object_r:systemd_cgtop_exec_t,s0) /usr/bin/systemd-coredump -- gen_context(system_u:object_r:systemd_coredump_exec_t,s0) diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc --- /home/rjc/src/pol-git/policy/modules/system/udev.fc 2016-12-31 21:09:24.685505126 +1100 +++ ./policy/modules/system/udev.fc 2017-01-10 18:20:03.463719957 +1100 @@ -9,22 +9,22 @@ /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0) /etc/udev/scripts/.+ -- gen_context(system_u:object_r:udev_helper_exec_t,s0) -/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/lib/udev/udev-acl -- gen_context(system_u:object_r:udev_exec_t,s0) ifdef(`distro_debian',` -/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/bin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0) ') -/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0) -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/udev -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/udevadm -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/udevd -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/udevsend -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/udevstart -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0) ifdef(`distro_redhat',` -/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0) +/usr/sbin/start_udev -- gen_context(system_u:object_r:udev_exec_t,s0) ') /usr/bin/udevinfo -- gen_context(system_u:object_r:udev_exec_t,s0) @@ -44,6 +44,5 @@ /run/udev(/.*)? gen_context(system_u:object_r:udev_var_run_t,s0) ifdef(`distro_debian',` -/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0) /run/xen-hotplug -d gen_context(system_u:object_r:udev_var_run_t,s0) ')