
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:"Lucida Console";

        panose-1:2 11 6 9 4 5 4 2 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body lang=EN-GB link=blue vlink=purple>


<div class=WordSection1>


<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>


<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:

"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;

font-family:"Tahoma","sans-serif"'> selinux-bounces@lists.fedoraproject.org

[mailto:selinux-bounces@lists.fedoraproject.org] <b>On Behalf Of </b>Nabeel

Moidu<br>

<b>Subject:</b> Domain transition not working<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p>&nbsp;</o:p></p>


<div>


<p class=MsoNormal>Hi<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>I've got an executable file script.sh&nbsp;labeled

xyz_exec_t. I've also defined a&nbsp;domain xyz_t&nbsp; and&nbsp;added

daemon_domain(xyz_t, xyz_exec_t) in the .te file.<o:p></o:p></p>


</div>


<div>


<div>


<p class=MsoNormal>When compiled and inserted, the file context&nbsp;labels

seem to be enforced correctly. Normally the executable script.sh is invoked by

the init scripts. As per the domain transition rule, I expect it show up xyz_t

as its domain in ps -efZ . But the transition does not work as expected. The

process runs as an unconfined domain. <o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>But when I add runcon in the line where the init script

invokes the executable with the domain as xyz_t, the process runs in the proper

context.<o:p></o:p></p>


</div>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>Once I remove the runcon and invoke the init script, the

domain transition I applied in the custom module does not work out. <o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>Any suggestions ? <o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>NB: The system is on permissive mode and this particular

domain xyz_t has also been defined as a permissive domain. <o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>&nbsp;<o:p></o:p></p>


</div>


<div>


<p class=MsoNormal>Nabeel<o:p></o:p></p>


</div>


</div>


<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>It might help us to see the exact

rules that have been defined.&nbsp; Hopefully this will show something up

(thanks Dominick!):<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Lucida Console"'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Lucida Console"'>sesearch

--allow -t xyz_t | grep</span><span style='color:#1F497D'> </span><span

style='font-size:10.0pt;font-family:"Lucida Console"'>transition</span><span

style='color:#1F497D'><o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>If your executable is normally

run by init scripts, it will be coming from initrc_t, not unconfined_t, which

may make a difference.<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'><o:p>&nbsp;</o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>Moray.<o:p></o:p></span></p>


<p class=MsoNormal><span style='color:#1F497D'>&#8220;To err is human; to purr,

feline.&#8221;<o:p></o:p></span></p>


</div>


</body>


</html>