diff options
Diffstat (limited to 'policy/modules/roles/auditadm.te')
-rw-r--r-- | policy/modules/roles/auditadm.te | 65 |
1 files changed, 65 insertions, 0 deletions
diff --git a/policy/modules/roles/auditadm.te b/policy/modules/roles/auditadm.te new file mode 100644 index 000000000..834a065de --- /dev/null +++ b/policy/modules/roles/auditadm.te @@ -0,0 +1,65 @@ +policy_module(auditadm, 2.2.0) + +######################################## +# +# Declarations +# + +role auditadm_r; +role system_r; +userdom_unpriv_user_template(auditadm) + +######################################## +# +# Local policy +# + +allow auditadm_t self:capability { dac_read_search dac_override }; + +kernel_read_ring_buffer(auditadm_t) + +corecmd_exec_shell(auditadm_t) + +domain_kill_all_domains(auditadm_t) + +logging_send_syslog_msg(auditadm_t) +logging_read_generic_logs(auditadm_t) +logging_manage_audit_log(auditadm_t) +logging_manage_audit_config(auditadm_t) +logging_run_auditctl(auditadm_t, auditadm_r) +logging_run_auditd(auditadm_t, auditadm_r) + +seutil_run_runinit(auditadm_t, auditadm_r) +seutil_read_bin_policy(auditadm_t) + +optional_policy(` + consoletype_exec(auditadm_t) +') + +optional_policy(` + dmesg_exec(auditadm_t) +') + +optional_policy(` + screen_role_template(auditadm, auditadm_r, auditadm_t) +') + +optional_policy(` + secadm_role_change(auditadm_r) +') + +optional_policy(` + su_role_template(auditadm, auditadm_r, auditadm_t) +') + +optional_policy(` + sudo_role_template(auditadm, auditadm_r, auditadm_t) +') + +optional_policy(` + sysadm_role_change(auditadm_r) +') + +optional_policy(` + vlock_run(auditadm_t, auditadm_r) +') |