<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Oct 14, 2013 at 4:33 PM, Kay Sievers <span dir="ltr"><<a href="mailto:kay@vrfy.org" target="_blank">kay@vrfy.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, Oct 15, 2013 at 1:21 AM, Michael Demeter<br>
<<a href="mailto:michael.demeter@intel.com">michael.demeter@intel.com</a>> wrote:<br>
<br>
> It looks to me like *everything* will have that label now. This is an<br>
> unconditional rule.<br>
><br>
><br>
> Yes. Without it nothing can use the /dev devices except systemd<br>
<br>
</div>Again and again:<br>
<br>
This will apply the label to ttys:<br>
  SUBSYSTEM=="tty", SECLABEL{smack}="*"<br></blockquote><div><br></div><div style>Yes it will do this..</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<br>
This will pointlessly match on ttys, and apply the label to a*all*<br>
devices on the system:<br>
  SUBSYSTEM=="tty",<br>
  SECLABEL{smack}="*"<br>
<br>
This is all wrong, please *really* test your stuff before submitting!<br>
<div class="im"><br></div></blockquote><div><br></div><div style>This is not pointlessly matching all ttys. This is exactly how I intended this rule to work. If there are separate Smack labels for floor, system and user then as soon as the first smack policy is established the user will no longer be able to use anything labeled as floor. This rule sets the stage correctly when Smack is enabled by allowing all reads and writes which is how it should be.</div>

<div style><br></div><div style>Why do you think this is incorrect behavior?</div><div style><br></div><div style>I am open to suggestions with regards to writing a rule that is better suited but it seems this does exactly what is needed for the system to operate correctly.<br>

</div><div style> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
> It is not included as a policy file when the image is built if Smack is not<br>
> enabled.. So will not affect anyone not using smack.<br>
><br>
> That's not the point, the point is is if *belongs* into the systemd<br>
> repo, not if it's *enabled* by default or not. From what I see, it's<br>
><br>
> nothing really we should ship upstream.<br>
><br>
> If Smack is enabled in systemd it starts very early and all of the special<br>
> devices need to be labeled properly for correct operation<br>
><br>
> Also, it should not repeat the primary permissions settings from the<br>
> default rules, that is just not right.<br>
><br>
> This was done at Auke's request since the rule is adding the SECLABEL<br>
> for debugability to have the original rule present was desirable.<br>
<br>
</div>Again, I don't need technical details here. In general is not the goal<br>
of systemd to ship a half (regarding the device nodes) configured<br>
smack system, or carry out product specific policies.<br></blockquote><div><br></div><div style>This is to configure the system so it is useable in the case where Smack is enabled and Smack policies have been added. </div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Where does all the other needed policy live? You need to convince us<br>
why such a policy should live in an upstream systemd repo, I'm really<br>
not.<br></blockquote><div><br></div><div style>All other Smack policies live with in each application package.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<span class="HOEnZb"><font color="#888888"><br>
Kay<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Michael Demeter<div>Sr. Software Engineer</div><div>Open Source Technology Center - SSG</div><div>Intel Corporation</div>
</div></div>