|
Chris PeBenito |
0fbfa5 |
#DESC Zebra - BGP server
|
|
Chris PeBenito |
0fbfa5 |
#
|
|
Chris PeBenito |
0fbfa5 |
# Author: Russell Coker <russell@coker.com.au>
|
|
Chris PeBenito |
0fbfa5 |
# X-Debian-Packages: zebra
|
|
Chris PeBenito |
0fbfa5 |
#
|
|
Chris PeBenito |
0fbfa5 |
type zebra_port_t, port_type;
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
daemon_domain(zebra, `, sysctl_net_writer')
|
|
Chris PeBenito |
0fbfa5 |
type zebra_conf_t, file_type, sysadmfile;
|
|
Chris PeBenito |
0fbfa5 |
r_dir_file({ initrc_t zebra_t }, zebra_conf_t)
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
can_network_server(zebra_t)
|
|
Chris PeBenito |
0fbfa5 |
can_ypbind(zebra_t)
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t { etc_t etc_runtime_t }:file { getattr read };
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:process setcap;
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:capability { setgid setuid net_bind_service net_admin net_raw };
|
|
Chris PeBenito |
0fbfa5 |
file_type_auto_trans(zebra_t, var_run_t, zebra_var_run_t, sock_file)
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
logdir_domain(zebra)
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
# /tmp/.bgpd is such a bad idea!
|
|
Chris PeBenito |
0fbfa5 |
tmp_domain(zebra, `', sock_file)
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:unix_dgram_socket create_socket_perms;
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:unix_stream_socket { connectto create_stream_socket_perms };
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:rawip_socket create_socket_perms;
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t self:netlink_route_socket r_netlink_socket_perms;
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t zebra_port_t:tcp_socket name_bind;
|
|
Chris PeBenito |
0fbfa5 |
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t proc_t:file { getattr read };
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t { sysctl_t sysctl_net_t }:dir search;
|
|
Chris PeBenito |
0fbfa5 |
allow zebra_t sysctl_net_t:file rw_file_perms;
|