|
 |
9a4557 |
diff --git a/ctdb.te b/ctdb.te
|
|
|
9a4557 |
index 47199aa..ac0508e 100644
|
|
|
9a4557 |
--- a/ctdb.te
|
|
|
9a4557 |
+++ b/ctdb.te
|
|
|
9a4557 |
@@ -97,9 +97,12 @@ corenet_udp_bind_ctdb_port(ctdbd_t)
|
|
|
9a4557 |
corenet_tcp_bind_smbd_port(ctdbd_t)
|
|
|
9a4557 |
corenet_tcp_connect_ctdb_port(ctdbd_t)
|
|
|
9a4557 |
corenet_tcp_sendrecv_ctdb_port(ctdbd_t)
|
|
|
9a4557 |
+corenet_tcp_connect_gluster_port(ctdbd_t)
|
|
|
9a4557 |
+corenet_tcp_connect_nfs_port(ctdbd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
corecmd_exec_bin(ctdbd_t)
|
|
|
9a4557 |
corecmd_exec_shell(ctdbd_t)
|
|
|
9a4557 |
+corecmd_getattr_all_executables(ctdbd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
dev_read_sysfs(ctdbd_t)
|
|
|
9a4557 |
dev_read_urand(ctdbd_t)
|
|
|
9a4557 |
@@ -131,6 +134,12 @@ optional_policy(`
|
|
|
9a4557 |
')
|
|
|
9a4557 |
|
|
|
9a4557 |
optional_policy(`
|
|
|
9a4557 |
+ rpc_domtrans_rpcd(ctdbd_t)
|
|
|
9a4557 |
+ rpc_manage_nfs_state_data_dir(ctdbd_t)
|
|
|
9a4557 |
+ rpc_read_nfs_state_data(ctdbd_t)
|
|
|
9a4557 |
+')
|
|
|
9a4557 |
+
|
|
|
9a4557 |
+optional_policy(`
|
|
|
9a4557 |
samba_signull_smbd(ctdbd_t)
|
|
|
9a4557 |
samba_initrc_domtrans(ctdbd_t)
|
|
|
9a4557 |
samba_domtrans_net(ctdbd_t)
|
|
|
9a4557 |
diff --git a/glusterd.fc b/glusterd.fc
|
|
|
9a4557 |
index 52b4110..a3633cd 100644
|
|
|
9a4557 |
--- a/glusterd.fc
|
|
|
9a4557 |
+++ b/glusterd.fc
|
|
|
9a4557 |
@@ -6,6 +6,13 @@
|
|
|
9a4557 |
/usr/sbin/glusterd -- gen_context(system_u:object_r:glusterd_initrc_exec_t,s0)
|
|
|
9a4557 |
/usr/sbin/glusterfsd -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
|
|
|
9a4557 |
+/usr/sbin/glustereventsd -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
+/usr/sbin/gluster-eventsapi -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
+
|
|
|
9a4557 |
+
|
|
|
9a4557 |
+/usr/libexec/glusterfs/peer_eventsapi.py -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
+/usr/libexec/glusterfs/events/glustereventsd.py -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
+
|
|
|
9a4557 |
/usr/bin/ganesha.nfsd -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
9a4557 |
|
|
|
9a4557 |
/opt/glusterfs/[^/]+/sbin/glusterfsd -- gen_context(system_u:object_r:glusterd_exec_t,s0)
|
|
|
e54b68 |
diff --git a/glusterd.te b/glusterd.te
|
|
|
9a4557 |
index 48811e2..a8877f7 100644
|
|
|
e54b68 |
--- a/glusterd.te
|
|
|
e54b68 |
+++ b/glusterd.te
|
|
|
e54b68 |
@@ -59,7 +59,7 @@ files_type(glusterd_brick_t)
|
|
|
e54b68 |
# Local policy
|
|
|
e54b68 |
#
|
|
|
e54b68 |
|
|
|
e54b68 |
-allow glusterd_t self:capability { sys_admin sys_resource sys_ptrace dac_override chown dac_read_search fowner fsetid kill setgid setuid net_admin mknod net_raw };
|
|
|
e54b68 |
+allow glusterd_t self:capability { sys_admin sys_resource sys_ptrace dac_override chown dac_read_search fowner fsetid ipc_lock kill setgid setuid net_admin mknod net_raw };
|
|
|
e54b68 |
|
|
|
e54b68 |
allow glusterd_t self:capability2 block_suspend;
|
|
|
e54b68 |
allow glusterd_t self:process { getcap setcap setrlimit signal_perms setsched getsched setfscreate};
|
|
|
9a4557 |
@@ -132,6 +132,7 @@ corenet_raw_bind_generic_node(glusterd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
corenet_tcp_connect_gluster_port(glusterd_t)
|
|
|
9a4557 |
corenet_tcp_bind_gluster_port(glusterd_t)
|
|
|
9a4557 |
+corenet_udp_bind_gluster_port(glusterd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
# replacement for rpc.mountd
|
|
|
9a4557 |
corenet_sendrecv_all_server_packets(glusterd_t)
|
|
|
9a4557 |
@@ -155,6 +156,7 @@ corenet_tcp_connect_all_ports(glusterd_t)
|
|
|
e54b68 |
dev_read_sysfs(glusterd_t)
|
|
|
e54b68 |
dev_read_urand(glusterd_t)
|
|
|
e54b68 |
dev_read_rand(glusterd_t)
|
|
|
e54b68 |
+dev_rw_infiniband_dev(glusterd_t)
|
|
|
e54b68 |
|
|
|
e54b68 |
domain_read_all_domains_state(glusterd_t)
|
|
|
e54b68 |
domain_getattr_all_sockets(glusterd_t)
|
|
|
9a4557 |
@@ -164,6 +166,7 @@ domain_use_interactive_fds(glusterd_t)
|
|
|
e54b68 |
fs_mount_all_fs(glusterd_t)
|
|
|
e54b68 |
fs_unmount_all_fs(glusterd_t)
|
|
|
e54b68 |
fs_getattr_all_fs(glusterd_t)
|
|
|
e54b68 |
+fs_getattr_all_dirs(glusterd_t)
|
|
|
e54b68 |
|
|
|
e54b68 |
files_mounton_non_security(glusterd_t)
|
|
|
e54b68 |
|
|
|
9a4557 |
@@ -185,6 +188,7 @@ init_read_script_state(glusterd_t)
|
|
|
9a4557 |
init_rw_script_tmp_files(glusterd_t)
|
|
|
9a4557 |
init_manage_script_status_files(glusterd_t)
|
|
|
9a4557 |
init_status(glusterd_t)
|
|
|
9a4557 |
+init_stop_transient_unit(glusterd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
systemd_config_systemd_services(glusterd_t)
|
|
|
9a4557 |
systemd_signal_passwd_agent(glusterd_t)
|
|
|
9a4557 |
@@ -203,6 +207,7 @@ userdom_read_user_tmp_files(glusterd_t)
|
|
|
9a4557 |
userdom_delete_user_tmp_files(glusterd_t)
|
|
|
9a4557 |
userdom_rw_user_tmp_files(glusterd_t)
|
|
|
9a4557 |
userdom_kill_all_users(glusterd_t)
|
|
|
9a4557 |
+userdom_signal_unpriv_users(glusterd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
mount_domtrans(glusterd_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
diff --git a/puppet.te b/puppet.te
|
|
|
9a4557 |
index b80cb1e..46a4b5d 100644
|
|
|
9a4557 |
--- a/puppet.te
|
|
|
9a4557 |
+++ b/puppet.te
|
|
|
9a4557 |
@@ -354,6 +354,7 @@ optional_policy(`
|
|
|
9a4557 |
')
|
|
|
9a4557 |
|
|
|
9a4557 |
optional_policy(`
|
|
|
9a4557 |
+ systemd_dbus_chat_timedated(puppetagent_t)
|
|
|
9a4557 |
systemd_dbus_chat_timedated(puppetmaster_t)
|
|
|
9a4557 |
')
|
|
|
9a4557 |
|
|
|
ddc3b9 |
diff --git a/rhcs.te b/rhcs.te
|
|
|
ddc3b9 |
index ce1ca24..4c9f2b6 100644
|
|
|
ddc3b9 |
--- a/rhcs.te
|
|
|
ddc3b9 |
+++ b/rhcs.te
|
|
|
ddc3b9 |
@@ -275,6 +275,10 @@ optional_policy(`
|
|
|
ddc3b9 |
')
|
|
|
ddc3b9 |
|
|
|
ddc3b9 |
optional_policy(`
|
|
|
ddc3b9 |
+ fprintd_dbus_chat(cluster_t)
|
|
|
ddc3b9 |
+')
|
|
|
ddc3b9 |
+
|
|
|
ddc3b9 |
+optional_policy(`
|
|
|
ddc3b9 |
ldap_systemctl(cluster_t)
|
|
|
ddc3b9 |
')
|
|
|
ddc3b9 |
|
|
|
9a4557 |
diff --git a/virt.if b/virt.if
|
|
|
9a4557 |
index 2397aeb..17156a6 100644
|
|
|
9a4557 |
--- a/virt.if
|
|
|
9a4557 |
+++ b/virt.if
|
|
|
9a4557 |
@@ -1408,6 +1408,8 @@ interface(`virt_transition_svirt_sandbox',`
|
|
|
9a4557 |
role $2 types svirt_sandbox_domain;
|
|
|
9a4557 |
allow $1 svirt_sandbox_domain:unix_dgram_socket sendto;
|
|
|
9a4557 |
|
|
|
9a4557 |
+ allow svirt_sandbox_domain $1:fd use;
|
|
|
9a4557 |
+
|
|
|
9a4557 |
allow svirt_sandbox_domain $1:fifo_file rw_fifo_file_perms;
|
|
|
9a4557 |
allow svirt_sandbox_domain $1:process sigchld;
|
|
|
9a4557 |
ps_process_pattern($1, svirt_sandbox_domain)
|
|
|
9a4557 |
diff --git a/virt.te b/virt.te
|
|
|
9a4557 |
index 69333cf..6dd64f3 100644
|
|
|
9a4557 |
--- a/virt.te
|
|
|
9a4557 |
+++ b/virt.te
|
|
|
9a4557 |
@@ -1316,6 +1316,7 @@ kernel_list_all_proc(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_read_all_proc(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_read_all_sysctls(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_read_net_sysctls(svirt_sandbox_domain)
|
|
|
9a4557 |
+kernel_rw_unix_sysctls(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_dontaudit_search_kernel_sysctl(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_dontaudit_access_check_proc(svirt_sandbox_domain)
|
|
|
9a4557 |
kernel_dontaudit_setattr_proc_files(svirt_sandbox_domain)
|
|
|
9a4557 |
@@ -1470,6 +1471,7 @@ allow svirt_lxc_net_t virt_lxc_var_run_t:file read_file_perms;
|
|
|
9a4557 |
|
|
|
9a4557 |
kernel_read_irq_sysctls(svirt_lxc_net_t)
|
|
|
9a4557 |
kernel_read_messages(svirt_lxc_net_t)
|
|
|
9a4557 |
+kernel_rw_usermodehelper_state(svirt_lxc_net_t)
|
|
|
9a4557 |
|
|
|
9a4557 |
dev_read_sysfs(svirt_lxc_net_t)
|
|
|
9a4557 |
dev_read_mtrr(svirt_lxc_net_t)
|