
<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><P>Hi,</P>

<P>&nbsp;</P>

<P>I think i'm&nbsp;having a policy compilation problem here</P>

<P>&nbsp;</P>

<P>I've moved the domain_auto_trans($1_t, vmware_exec_t, $1_vmware_t) statement&nbsp;to&nbsp;vmware.if. I was following the domain_auto_trans rules for other apps such as mozilla. The syntax error problem went away. </P>

<P>&nbsp;</P>

<P>But the problem is that the domain transition didn't take place. My vmplayer is still running in unconfined state.</P>

<P>&nbsp;</P>

<P>I'm doing compilation of the vmware.pp module using make -f /usr/share/selinux/devel/Makefile. I've tried to purposely introduce errors into vmware.if to see if the compilation is effective:</P>

<P>&nbsp;</P>

<P>e.g. domain_auto_trans($2, $2, $1_t, vmware_exec_t, $1_vmware_t)</P>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif"><BR>But the make process didn't detect any errors and the compilation still went on.&nbsp;I did a&nbsp;diff&nbsp;between the vmware.pp at the /etc/selinux/targeted/modules/active/modules/vmware.pp and the development directory (where I do all my compilation), but there are no differences.</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">Does it mean if the vmware.if file is modified&nbsp;it will not affect the make? </DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">How do you ensure that the changes at vmware.if&nbsp;&nbsp;effective? (well at least cause some compilation errors?)</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">Thanks,</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">Louis</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif"><BR>&nbsp;</DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif">----- Original Message ----<BR>From: Ken YANG &lt;spng.yang@gmail.com&gt;<BR>To: Louis Lam &lt;lshoujun@yahoo.com&gt;<BR>Cc: Daniel J Walsh &lt;dwalsh@redhat.com&gt;; fedora-selinux-list@redhat.com<BR>Sent: Saturday, July 28, 2007 5:28:25 PM<BR>Subject: Re: Containing vmware player 2.0.0 with SELINUX<BR><BR>

<DIV>Louis Lam wrote:<BR>&gt; My mistakes, apologies for the confusion, under part 2, I was trying to do domain_auto_trans instead of doman_entry_file, so...<BR>&gt; <BR>&gt; 2. Created a domain transition so that the vmware user programs e.g.<BR>&gt; /usr/lib/vmplayer script, /usr/lib/vmware/bin/vmplayer that are<BR>&gt; labelleled system_u:object_r:vmware_exec_t will transit to<BR>&gt; system_u:object_r:vmware_t when executed. I put it also in vmware.te:<BR>&gt; <BR>&gt; domain_auto_trans($1_t, vmware_exec_t, $1_vmware_t)<BR>&gt; <BR>&gt; but<BR>&gt;&nbsp;&nbsp;on making the vmware.pp module I get this warning and error:<BR>&gt; <BR>&gt; 'syntax error' at token '1' on line 81143:<BR>&gt; #line 13<BR>&gt;&nbsp;&nbsp;&nbsp;&nbsp; allow $1_t vmware_exec_t: file {getattr read execute};<BR><BR>this rule is generated by domain_auto_trans, so i think the<BR>syntax error should be caused by other rules.<BR><BR>you may check other rules in your

 policy.<BR><BR>&gt; <BR>&gt; Thanks in advance,<BR>&gt; Louis<BR>&gt; <BR>&gt; <BR>&gt; ----- Original Message ----<BR>&gt; From: Louis Lam &lt;lshoujun@yahoo.com&gt;<BR>&gt; To: Daniel J Walsh &lt;dwalsh@redhat.com&gt;<BR>&gt; Cc: fedora-selinux-list@redhat.com<BR>&gt; Sent: Friday, July 27, 2007 5:05:05 AM<BR>&gt; Subject: Re: Containing vmware player 2.0.0 with SELINUX<BR>&gt; <BR>&gt; Thanks Daniel for the information, hi everyone<BR>&gt; <BR>&gt; I've tried to make the following changes:<BR>&gt; <BR>&gt; 1. Defined the vmware_t type in vmware.te:<BR>&gt; type vmware_t;<BR>&gt; <BR>&gt; I need to do this since I'm trying to let the vmware user program run under vmware_t domain but this is not defined. In terms of overall code compliance is it correct to define here? or should be at the vmware.if?<BR><BR>type definition should be in vmware.te</DIV></DIV>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: times new roman, new york, times, serif"><BR></DIV></div><br>Send instant messages to your online friends http://uk.messenger.yahoo.com </body></html>