[gentoo-commits] proj/hardened-refpolicy:master commit in: policy/modules/kernel/, policy/modules/admin/, policy/modules/system/

[gentoo-commits] proj/hardened-refpolicy:master commit in: policy/modules/kernel/, policy/modules/admin/, policy/modules/system/

[Jason Zaman]

commit:     0a8aa1bfe479e36ab9fa014dccccbec5b3c59b0b
Author:     Nicolas Iooss <nicolas.iooss <AT> m4x <DOT> org>
AuthorDate: Mon Jan 18 23:01:10 2016 +0000
Commit:     Jason Zaman <perfinion <AT> gentoo <DOT> org>
CommitDate: Sat Jan 30 17:16:57 2016 +0000
URL:        https://gitweb.gentoo.org/proj/hardened-refpolicy.git/commit/?id=0a8aa1bf

Fix interface descriptions when duplicate ones are found

Distinct interfaces should have different comments

 policy/modules/admin/bootloader.if      |  4 ++--
 policy/modules/kernel/corecommands.if   |  4 ++--
 policy/modules/kernel/corenetwork.if.in |  6 +++---
 policy/modules/kernel/devices.if        |  4 ++--
 policy/modules/kernel/domain.if         |  2 +-
 policy/modules/kernel/files.if          |  2 +-
 policy/modules/kernel/filesystem.if     |  9 +++++----
 policy/modules/kernel/kernel.if         |  2 +-
 policy/modules/kernel/storage.if        |  4 ++--
 policy/modules/system/iptables.if       |  3 ++-
 policy/modules/system/locallogin.if     |  2 +-
 policy/modules/system/miscfiles.if      |  3 ++-
 policy/modules/system/modutils.if       |  2 +-
 policy/modules/system/selinuxutil.if    |  2 +-
 policy/modules/system/userdomain.if     | 13 +++++++------
 15 files changed, 33 insertions(+), 29 deletions(-)

diff --git a/policy/modules/admin/bootloader.if b/policy/modules/admin/bootloader.if
index cc8df9d..185f749 100644
--- a/policy/modules/admin/bootloader.if
+++ b/policy/modules/admin/bootloader.if
@@ -124,8 +124,8 @@ interface(`bootloader_rw_tmp_files',`
 
 ########################################
 ## <summary>
-##	Read and write the bootloader
-##	temporary data in /tmp.
+##	Create, read and write the bootloader
+##	runtime data.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/corecommands.if b/policy/modules/kernel/corecommands.if
index 917b160..60c1feb 100644
--- a/policy/modules/kernel/corecommands.if
+++ b/policy/modules/kernel/corecommands.if
@@ -199,11 +199,11 @@ interface(`corecmd_getattr_bin_files',`
 
 ########################################
 ## <summary>
-##	Get the attributes of files in bin directories.
+##	Do not audit attempts to get the attributes of files in bin directories.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
-##	Domain allowed access.
+##	Domain to not audit.
 ##	</summary>
 ## </param>
 #

diff --git a/policy/modules/kernel/corenetwork.if.in b/policy/modules/kernel/corenetwork.if.in
index 6e0bb9f..4babd24 100644
--- a/policy/modules/kernel/corenetwork.if.in
+++ b/policy/modules/kernel/corenetwork.if.in
@@ -2753,12 +2753,12 @@ interface(`corenet_all_recvfrom_labeled',`
 
 ########################################
 ## <summary>
-##	Make the specified type usable
-##	for labeled ipsec.
+##	Allow specified type to set the context of
+##	a SPD entry for labeled ipsec associations.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
-##	Type to be used for labeled ipsec.
+##	Domain allowed access.
 ##	</summary>
 ## </param>
 #

diff --git a/policy/modules/kernel/devices.if b/policy/modules/kernel/devices.if
index 591b932..9615efd 100644
--- a/policy/modules/kernel/devices.if
+++ b/policy/modules/kernel/devices.if
@@ -227,7 +227,7 @@ interface(`dev_add_entry_generic_dirs',`
 
 ########################################
 ## <summary>
-##	Add entries to directories in /dev.
+##	Remove entries from directories in /dev.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -2023,7 +2023,7 @@ interface(`dev_read_input',`
 
 ########################################
 ## <summary>
-##	Read input event devices (/dev/input).
+##	Read and write input event devices (/dev/input).
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/domain.if b/policy/modules/kernel/domain.if
index 3420b3a..92cc408 100644
--- a/policy/modules/kernel/domain.if
+++ b/policy/modules/kernel/domain.if
@@ -1155,7 +1155,7 @@ interface(`domain_getattr_all_stream_sockets',`
 ########################################
 ## <summary>
 ##	Do not audit attempts to get the attributes
-##	of all domains unix datagram sockets.
+##	of all domains unix stream sockets.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/files.if b/policy/modules/kernel/files.if
index 20acc0e..dc13e31 100644
--- a/policy/modules/kernel/files.if
+++ b/policy/modules/kernel/files.if
@@ -1317,7 +1317,7 @@ interface(`files_relabelto_all_file_type_fs',`
 
 ########################################
 ## <summary>
-##	Relabel a filesystem to the type of a file.
+##	Relabel a filesystem to and from the type of a file.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/filesystem.if b/policy/modules/kernel/filesystem.if
index b9b30da..c5a1ad1 100644
--- a/policy/modules/kernel/filesystem.if
+++ b/policy/modules/kernel/filesystem.if
@@ -1399,7 +1399,7 @@ interface(`fs_read_cifs_named_pipes',`
 
 ########################################
 ## <summary>
-##	Read named pipes
+##	Read named sockets
 ##	on a CIFS or SMB network filesystem.
 ## </summary>
 ## <param name="domain">
@@ -2360,8 +2360,8 @@ interface(`fs_getattr_iso9660_fs',`
 
 ########################################
 ## <summary>
-##	Read files on an iso9660 filesystem, which
-##	is usually used on CDs.
+##	Get the attributes of files on an iso9660
+##	filesystem, which is usually used on CDs.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -2759,7 +2759,8 @@ interface(`fs_read_nfs_named_pipes',`
 
 ########################################
 ## <summary>
-##	Read directories of RPC file system pipes.
+##	Get the attributes of directories of RPC
+##	file system pipes.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/kernel.if b/policy/modules/kernel/kernel.if
index 5f2f78e..5af202c 100644
--- a/policy/modules/kernel/kernel.if
+++ b/policy/modules/kernel/kernel.if
@@ -1087,7 +1087,7 @@ interface(`kernel_dontaudit_read_system_state',`
 ########################################
 ## <summary>
 ##	Do not audit attempts by caller to
-##	read system state information in proc.
+##	read symbolic links in proc.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/kernel/storage.if b/policy/modules/kernel/storage.if
index 5c1be6b..0292eee 100644
--- a/policy/modules/kernel/storage.if
+++ b/policy/modules/kernel/storage.if
@@ -210,7 +210,7 @@ interface(`storage_create_fixed_disk_dev',`
 
 ########################################
 ## <summary>
-##	Allow the caller to create fixed disk device nodes.
+##	Allow the caller to delete fixed disk device nodes.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -738,7 +738,7 @@ interface(`storage_read_tape',`
 
 ########################################
 ## <summary>
-##	Allow the caller to directly read
+##	Allow the caller to directly write
 ##	a tape device.
 ## </summary>
 ## <param name="domain">

diff --git a/policy/modules/system/iptables.if b/policy/modules/system/iptables.if
index 5d2b406..00c49c6 100644
--- a/policy/modules/system/iptables.if
+++ b/policy/modules/system/iptables.if
@@ -70,7 +70,8 @@ interface(`iptables_exec',`
 
 #####################################
 ## <summary>
-##	Execute iptables in the iptables domain.
+##	Execute iptables init scripts in
+##	the init script domain.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/system/locallogin.if b/policy/modules/system/locallogin.if
index 4305a86..d99475c 100644
--- a/policy/modules/system/locallogin.if
+++ b/policy/modules/system/locallogin.if
@@ -135,7 +135,7 @@ interface(`locallogin_link_keys',`
 
 ########################################
 ## <summary>
-##	Execute local logins in the local login domain.
+##	Execute single-user logins in the single-user login domain.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/system/miscfiles.if b/policy/modules/system/miscfiles.if
index d9220f7..63ed47f 100644
--- a/policy/modules/system/miscfiles.if
+++ b/policy/modules/system/miscfiles.if
@@ -823,7 +823,8 @@ interface(`miscfiles_read_test_files',`
 
 ########################################
 ## <summary>
-##	Execute test files.
+##	Create files in etc directories
+##	with localization file type.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/system/modutils.if b/policy/modules/system/modutils.if
index c1b049c..a5222e2 100644
--- a/policy/modules/system/modutils.if
+++ b/policy/modules/system/modutils.if
@@ -253,7 +253,7 @@ interface(`modutils_domtrans_depmod',`
 
 ########################################
 ## <summary>
-##	Execute depmod in the depmod domain.
+##	Execute update_modules in the update_modules domain.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/system/selinuxutil.if b/policy/modules/system/selinuxutil.if
index bcb4330..55d2429 100644
--- a/policy/modules/system/selinuxutil.if
+++ b/policy/modules/system/selinuxutil.if
@@ -762,7 +762,7 @@ interface(`seutil_manage_config',`
 #######################################
 ## <summary>
 ##	Create, read, write, and delete
-##	the general selinux configuration files.
+##	the general selinux configuration directories.
 ## </summary>
 ## <param name="domain">
 ##	<summary>

diff --git a/policy/modules/system/userdomain.if b/policy/modules/system/userdomain.if
index ea03e86..e341a1c 100644
--- a/policy/modules/system/userdomain.if
+++ b/policy/modules/system/userdomain.if
@@ -1625,7 +1625,7 @@ interface(`userdom_dontaudit_list_user_home_dirs',`
 
 ########################################
 ## <summary>
-##	Create user home directories.
+##	Manage user home directories.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -1968,7 +1968,7 @@ interface(`userdom_dontaudit_append_user_home_content_files',`
 
 ########################################
 ## <summary>
-##	Do not audit attempts to write user home files.
+##	Do not audit attempts to relabel user home files.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -2248,8 +2248,9 @@ interface(`userdom_manage_user_home_content_sockets',`
 
 ########################################
 ## <summary>
-##	Create objects in a user home directory
-##	with an automatic type transition to
+##	Create objects in a directory located
+##	in a user home directory with an
+##	automatic type transition to
 ##	a specified private type.
 ## </summary>
 ## <param name="domain">
@@ -2711,7 +2712,7 @@ interface(`userdom_tmp_filetrans_user_tmp',`
 
 ########################################
 ## <summary>
-##	Read user tmpfs files.
+##	Read and write user tmpfs files.
 ## </summary>
 ## <param name="domain">
 ##	<summary>
@@ -2978,7 +2979,7 @@ interface(`userdom_spec_domtrans_all_users',`
 
 ########################################
 ## <summary>
-##	Execute an Xserver session in all unprivileged user domains.  This
+##	Execute an Xserver session in all user domains.  This
 ##	is an explicit transition, requiring the
 ##	caller to use setexeccon().
 ## </summary>

[gentoo-commits] proj/hardened-refpolicy:master commit in: policy/modules/kernel/, policy/modules/admin/, policy/modules/system/

[Jason Zaman]

commit:     11f4cab04f6f461074f6c216a192e3c196787805
Author:     Nicolas Iooss <nicolas.iooss <AT> m4x <DOT> org>
AuthorDate: Tue Dec 27 16:06:54 2016 +0000
Commit:     Jason Zaman <perfinion <AT> gentoo <DOT> org>
CommitDate: Sun Jan  1 16:31:26 2017 +0000
URL:        https://gitweb.gentoo.org/proj/hardened-refpolicy.git/commit/?id=11f4cab0

Add file contexts in /usr for /bin, /usr/sbin and /usr/lib

Some policy modules define file contexts in /bin, /sbin and /lib without
defining similar file contexts in the same directory under /usr.

Add these missing file contexts when there are outside ifdef blocks.

 policy/modules/admin/bootloader.fc    |  2 ++
 policy/modules/admin/consoletype.fc   |  2 ++
 policy/modules/admin/dmesg.fc         |  2 ++
 policy/modules/admin/netutils.fc      |  2 ++
 policy/modules/admin/su.fc            |  1 +
 policy/modules/kernel/corecommands.fc | 20 ++++++++++-
 policy/modules/kernel/corenetwork.fc  |  3 ++
 policy/modules/kernel/devices.fc      |  5 +++
 policy/modules/kernel/files.fc        |  5 +++
 policy/modules/kernel/filesystem.fc   |  5 +++
 policy/modules/kernel/storage.fc      |  3 ++
 policy/modules/system/authlogin.fc    | 14 +++++---
 policy/modules/system/clock.fc        |  1 +
 policy/modules/system/fstools.fc      | 63 ++++++++++++++++++++++++++++-------
 policy/modules/system/getty.fc        |  2 ++
 policy/modules/system/hostname.fc     |  2 ++
 policy/modules/system/hotplug.fc      |  7 ++--
 policy/modules/system/init.fc         |  2 ++
 policy/modules/system/iptables.fc     | 13 ++++++--
 policy/modules/system/libraries.fc    |  3 ++
 policy/modules/system/locallogin.fc   |  3 ++
 policy/modules/system/logging.fc      |  5 +++
 policy/modules/system/lvm.fc          | 59 ++++++++++++++++++++++++++++++--
 policy/modules/system/modutils.fc     | 14 +++++++-
 policy/modules/system/mount.fc        |  6 ++++
 policy/modules/system/netlabel.fc     |  2 ++
 policy/modules/system/selinuxutil.fc  |  1 +
 policy/modules/system/setrans.fc      |  4 ++-
 policy/modules/system/sysnetwork.fc   | 19 +++++++++--
 policy/modules/system/systemd.fc      | 10 ++++++
 policy/modules/system/udev.fc         |  8 +++++
 31 files changed, 258 insertions(+), 30 deletions(-)

diff --git a/policy/modules/admin/bootloader.fc b/policy/modules/admin/bootloader.fc
index 5b67c16..c43c428 100644
--- a/policy/modules/admin/bootloader.fc
+++ b/policy/modules/admin/bootloader.fc
@@ -17,3 +17,5 @@
 /usr/sbin/grub2?-install	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
 /usr/sbin/grub2?-mkconfig	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
 /usr/sbin/grub2?-probe	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/lilo.*	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/ybin.*	--	gen_context(system_u:object_r:bootloader_exec_t,s0)

diff --git a/policy/modules/admin/consoletype.fc b/policy/modules/admin/consoletype.fc
index b7f053b..5d4fc31 100644
--- a/policy/modules/admin/consoletype.fc
+++ b/policy/modules/admin/consoletype.fc
@@ -1,2 +1,4 @@
 
 /sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
+
+/usr/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)

diff --git a/policy/modules/admin/dmesg.fc b/policy/modules/admin/dmesg.fc
index d6cc2d9..0685b19 100644
--- a/policy/modules/admin/dmesg.fc
+++ b/policy/modules/admin/dmesg.fc
@@ -1,2 +1,4 @@
 
 /bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
+
+/usr/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)

diff --git a/policy/modules/admin/netutils.fc b/policy/modules/admin/netutils.fc
index f5be3f9..44cde12 100644
--- a/policy/modules/admin/netutils.fc
+++ b/policy/modules/admin/netutils.fc
@@ -7,6 +7,8 @@
 /usr/bin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
 /usr/bin/lft		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
 /usr/bin/nmap		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
+/usr/bin/ping.* 	--	gen_context(system_u:object_r:ping_exec_t,s0)
+/usr/bin/tracepath.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
 /usr/bin/traceroute.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
 
 /usr/sbin/arping	--	gen_context(system_u:object_r:netutils_exec_t,s0)

diff --git a/policy/modules/admin/su.fc b/policy/modules/admin/su.fc
index 688abc2..3d89250 100644
--- a/policy/modules/admin/su.fc
+++ b/policy/modules/admin/su.fc
@@ -3,3 +3,4 @@
 
 /usr/(local/)?bin/ksu	--	gen_context(system_u:object_r:su_exec_t,s0)
 /usr/bin/kdesu		--	gen_context(system_u:object_r:su_exec_t,s0)
+/usr/bin/su		--	gen_context(system_u:object_r:su_exec_t,s0)

diff --git a/policy/modules/kernel/corecommands.fc b/policy/modules/kernel/corecommands.fc
index c265d1f..f2a1991 100644
--- a/policy/modules/kernel/corecommands.fc
+++ b/policy/modules/kernel/corecommands.fc
@@ -187,10 +187,19 @@ ifdef(`distro_gentoo',`
 #
 /usr/(.*/)?Bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-/usr/bin/git-shell		--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/fish			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/git-shell		--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mountpoint		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/scponly		--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/tcsh			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
 
 /usr/lib(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 
@@ -235,12 +244,15 @@ ifdef(`distro_gentoo',`
 /usr/lib/networkmanager/nm-.*	--	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/news/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/nspluginwrapper/np.*		gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/portage/bin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/pm-utils(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/readahead(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/rpm/rpmd		-- 	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/rpm/rpmk		-- 	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/rpm/rpmq		-- 	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/rpm/rpmv		-- 	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/sftp-server		--	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/ssh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/sudo/sesh		--	gen_context(system_u:object_r:shell_exec_t,s0)
@@ -248,6 +260,9 @@ ifdef(`distro_gentoo',`
 /usr/lib/systemd/system-generators(/.*)? gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/systemd/user-generators(/.*)?	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/tumbler-1/tumblerd	--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/vte/gnome-pty-helper	--	gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/xfce4/exo-1/exo-compose-mail-1 -- gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/xfce4/exo-1/exo-helper-1 --	gen_context(system_u:object_r:bin_t,s0)
@@ -291,6 +306,9 @@ ifdef(`distro_gentoo',`
 /usr/local/Printer(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/local/linuxprinter/filters(/.*)?	gen_context(system_u:object_r:bin_t,s0)
 
+/usr/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/nologin		--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/sbin/scponlyc		--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/sbin/sesh			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/sbin/smrsh			--	gen_context(system_u:object_r:shell_exec_t,s0)

diff --git a/policy/modules/kernel/corenetwork.fc b/policy/modules/kernel/corenetwork.fc
index f9b25c1..9af1f7a 100644
--- a/policy/modules/kernel/corenetwork.fc
+++ b/policy/modules/kernel/corenetwork.fc
@@ -8,3 +8,6 @@
 
 /lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
 /lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
+
+/usr/lib/udev/devices/ppp -c gen_context(system_u:object_r:ppp_device_t,s0)
+/usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)

diff --git a/policy/modules/kernel/devices.fc b/policy/modules/kernel/devices.fc
index a33e395..6a2e601 100644
--- a/policy/modules/kernel/devices.fc
+++ b/policy/modules/kernel/devices.fc
@@ -199,6 +199,11 @@ ifdef(`distro_debian',`
 /lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
 /lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
 
+/usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
+/usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
+/usr/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
+/usr/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
+
 /sys(/.*)?			gen_context(system_u:object_r:sysfs_t,s0)
 /sys/devices/system/cpu/online	--	gen_context(system_u:object_r:cpu_online_t,s0)
 

diff --git a/policy/modules/kernel/files.fc b/policy/modules/kernel/files.fc
index cc80d3f..f506f56 100644
--- a/policy/modules/kernel/files.fc
+++ b/policy/modules/kernel/files.fc
@@ -185,6 +185,11 @@ ifdef(`distro_debian',`
 /srv/.*				gen_context(system_u:object_r:var_t,s0)
 
 #
+# /usr/lib(64)?
+#
+/usr/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
+
+#
 # /tmp
 #
 /tmp			-d	gen_context(system_u:object_r:tmp_t,s0-mls_systemhigh)

diff --git a/policy/modules/kernel/filesystem.fc b/policy/modules/kernel/filesystem.fc
index 5228ab0..2029784 100644
--- a/policy/modules/kernel/filesystem.fc
+++ b/policy/modules/kernel/filesystem.fc
@@ -11,6 +11,11 @@
 /lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
 /lib/udev/devices/shm/.*	<<none>>
 
+/usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
+/usr/lib/udev/devices/hugepages/.*	<<none>>
+/usr/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
+/usr/lib/udev/devices/shm/.*	<<none>>
+
 /sys/fs/cgroup	-d	gen_context(system_u:object_r:cgroup_t,s0)
 /sys/fs/cgroup/.*	<<none>>
 /sys/fs/cgroup/[^/]+	-l	gen_context(system_u:object_r:cgroup_t,s0)

diff --git a/policy/modules/kernel/storage.fc b/policy/modules/kernel/storage.fc
index 73599f3..cd1b439 100644
--- a/policy/modules/kernel/storage.fc
+++ b/policy/modules/kernel/storage.fc
@@ -85,3 +85,6 @@ ifdef(`distro_redhat', `
 
 /lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
 /lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
+
+/usr/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
+/usr/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)

diff --git a/policy/modules/system/authlogin.fc b/policy/modules/system/authlogin.fc
index 38a3775..fe15c99 100644
--- a/policy/modules/system/authlogin.fc
+++ b/policy/modules/system/authlogin.fc
@@ -16,15 +16,19 @@ ifdef(`distro_suse', `
 /sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
 ')
 
+/usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
+
 /usr/kerberos/sbin/login\.krb5 -- gen_context(system_u:object_r:login_exec_t,s0)
 
 /usr/lib/utempter/utempter --	gen_context(system_u:object_r:utempter_exec_t,s0)
 
-/usr/sbin/utempter	--	gen_context(system_u:object_r:utempter_exec_t,s0)
-/usr/sbin/validate	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
-ifdef(`distro_gentoo', `
-/usr/sbin/unix_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
-')
+/usr/sbin/pam_console_apply	--	gen_context(system_u:object_r:pam_console_exec_t,s0)
+/usr/sbin/pam_timestamp_check   --	gen_context(system_u:object_r:pam_exec_t,s0)
+/usr/sbin/unix_chkpwd		--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/unix_update		--	gen_context(system_u:object_r:updpwd_exec_t,s0)
+/usr/sbin/unix_verify		--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/utempter		--	gen_context(system_u:object_r:utempter_exec_t,s0)
+/usr/sbin/validate		--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
 
 /var/cache/coolkey(/.*)?	gen_context(system_u:object_r:auth_cache_t,s0)
 

diff --git a/policy/modules/system/clock.fc b/policy/modules/system/clock.fc
index c5e05ca..2ec76e2 100644
--- a/policy/modules/system/clock.fc
+++ b/policy/modules/system/clock.fc
@@ -3,3 +3,4 @@
 
 /sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
 
+/usr/sbin/hwclock	--	gen_context(system_u:object_r:hwclock_exec_t,s0)

diff --git a/policy/modules/system/fstools.fc b/policy/modules/system/fstools.fc
index adac903..1f6f5f7 100644
--- a/policy/modules/system/fstools.fc
+++ b/policy/modules/system/fstools.fc
@@ -48,18 +48,57 @@
 /usr/bin/scsi_unique_id	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
 /usr/bin/syslinux	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
 
-/usr/sbin/addpart	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/clubufflush	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/delpart	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/efibootmgr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/fatsort	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/fsck.*	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/gdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/mkfs.*	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/parted	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/partprobe	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/partx		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/usr/sbin/smartctl	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/addpart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blkid			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/clubufflush		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/delpart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dump			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/efibootmgr		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/fatsort		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/fdisk			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/fsck.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/gdisk			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/install-mbr		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/make_reiser4		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkfs.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkreiserfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/parted		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/partprobe		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/partx			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidautorun		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/resize.*fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/smartctl		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zdb			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zhack			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zpios			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zstreamdump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/ztest			--	gen_context(system_u:object_r:fsadm_exec_t,s0)
 
 /var/log/fsck(/.*)?		gen_context(system_u:object_r:fsadm_log_t,s0)
 

diff --git a/policy/modules/system/getty.fc b/policy/modules/system/getty.fc
index 56e25f3..77dc825 100644
--- a/policy/modules/system/getty.fc
+++ b/policy/modules/system/getty.fc
@@ -3,6 +3,8 @@
 
 /sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
 
+/usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
+
 /var/log/mgetty\.log.*	--	gen_context(system_u:object_r:getty_log_t,s0)
 /var/log/vgetty\.log\..* --	gen_context(system_u:object_r:getty_log_t,s0)
 

diff --git a/policy/modules/system/hostname.fc b/policy/modules/system/hostname.fc
index 9dfecf7..6d00f5c 100644
--- a/policy/modules/system/hostname.fc
+++ b/policy/modules/system/hostname.fc
@@ -1,2 +1,4 @@
 
 /bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
+
+/usr/bin/hostname	--	gen_context(system_u:object_r:hostname_exec_t,s0)

diff --git a/policy/modules/system/hotplug.fc b/policy/modules/system/hotplug.fc
index 0e686da..9ef3e9f 100644
--- a/policy/modules/system/hotplug.fc
+++ b/policy/modules/system/hotplug.fc
@@ -4,8 +4,11 @@
 
 /etc/hotplug\.d/.*	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
 
+/run/usb(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
+/run/hotplug(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
+
 /sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
 /sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
 
-/run/usb(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
-/run/hotplug(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
+/usr/sbin/hotplug	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
+/usr/sbin/netplugd	--	gen_context(system_u:object_r:hotplug_exec_t,s0)

diff --git a/policy/modules/system/init.fc b/policy/modules/system/init.fc
index 11f1b80..a5c9bfa 100644
--- a/policy/modules/system/init.fc
+++ b/policy/modules/system/init.fc
@@ -54,7 +54,9 @@ ifdef(`distro_gentoo', `
 /usr/libexec/dcc/stop-.* --	gen_context(system_u:object_r:initrc_exec_t,s0)
 
 /usr/sbin/apachectl	-- 	gen_context(system_u:object_r:initrc_exec_t,s0)
+/usr/sbin/init(ng)?	--	gen_context(system_u:object_r:init_exec_t,s0)
 /usr/sbin/open_init_pty	--	gen_context(system_u:object_r:initrc_exec_t,s0)
+/usr/sbin/upstart	--	gen_context(system_u:object_r:init_exec_t,s0)
 
 #
 # /var

diff --git a/policy/modules/system/iptables.fc b/policy/modules/system/iptables.fc
index 9e6aeb1..70790fc 100644
--- a/policy/modules/system/iptables.fc
+++ b/policy/modules/system/iptables.fc
@@ -23,11 +23,18 @@
 /usr/lib/systemd/system/[^/]*iptables.*	-- gen_context(system_u:object_r:iptables_unit_t,s0)
 
 /usr/sbin/conntrack		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
 /usr/sbin/ipchains.*		--	gen_context(system_u:object_r:iptables_exec_t,s0)
 /usr/sbin/ipset			--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/usr/sbin/iptables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/usr/sbin/iptables-multi 	--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/usr/sbin/iptables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-multi 	--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
 
 /run/ebtables\.lock		--	gen_context(system_u:object_r:iptables_var_run_t,s0)
 /run/xtables.*		--	gen_context(system_u:object_r:iptables_var_run_t,s0)

diff --git a/policy/modules/system/libraries.fc b/policy/modules/system/libraries.fc
index f6d1e7c..126e120 100644
--- a/policy/modules/system/libraries.fc
+++ b/policy/modules/system/libraries.fc
@@ -151,6 +151,7 @@ ifdef(`distro_debian',`
 /usr/lib/nvidia-graphics(-[^/]*/)?libXvMCNVIDIA\.so.* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
 /usr/lib/nvidia/libGL(core)?\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
 /usr/lib/xorg/modules/glesx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
+/usr/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
 
 /usr/.*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:lib_t,s0)
 /usr/lib/wine/.+\.so	--	gen_context(system_u:object_r:textrel_shlib_t,s0)
@@ -174,6 +175,8 @@ ifdef(`distro_gentoo',`
 /usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
 ')
 
+/usr/sbin/ldconfig			--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
+
 ifdef(`distro_redhat',`
 /usr/share/rhn/rhn_applet/eggtrayiconmodule\.so -- gen_context(system_u:object_r:lib_t,s0)
 

diff --git a/policy/modules/system/locallogin.fc b/policy/modules/system/locallogin.fc
index be6a81b..06b5de6 100644
--- a/policy/modules/system/locallogin.fc
+++ b/policy/modules/system/locallogin.fc
@@ -1,3 +1,6 @@
 
 /sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
 /sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
+
+/usr/sbin/sulogin	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
+/usr/sbin/sushell	--	gen_context(system_u:object_r:sulogin_exec_t,s0)

diff --git a/policy/modules/system/logging.fc b/policy/modules/system/logging.fc
index b9b62e4..c5b20f7 100644
--- a/policy/modules/system/logging.fc
+++ b/policy/modules/system/logging.fc
@@ -22,8 +22,13 @@
 /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
 /usr/lib/systemd/system/rsyslog.*\.service -- gen_context(system_u:object_r:syslogd_unit_t,s0)
 
+/usr/sbin/audispd	--	gen_context(system_u:object_r:audisp_exec_t,s0)
+/usr/sbin/audisp-remote	--	gen_context(system_u:object_r:audisp_remote_exec_t,s0)
+/usr/sbin/auditctl	--	gen_context(system_u:object_r:auditctl_exec_t,s0)
+/usr/sbin/auditd	--	gen_context(system_u:object_r:auditd_exec_t,s0)
 /usr/sbin/klogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
 /usr/sbin/metalog	--	gen_context(system_u:object_r:syslogd_exec_t,s0)
+/usr/sbin/minilogd	--	gen_context(system_u:object_r:syslogd_exec_t,s0)
 /usr/sbin/rklogd	--	gen_context(system_u:object_r:klogd_exec_t,s0)
 /usr/sbin/rsyslogd	--	gen_context(system_u:object_r:syslogd_exec_t,s0)
 /usr/sbin/syslog-ng	--	gen_context(system_u:object_r:syslogd_exec_t,s0)

diff --git a/policy/modules/system/lvm.fc b/policy/modules/system/lvm.fc
index 5a39d46..48c2df1 100644
--- a/policy/modules/system/lvm.fc
+++ b/policy/modules/system/lvm.fc
@@ -94,14 +94,67 @@ ifdef(`distro_gentoo',`
 #
 # /usr
 #
-
+/usr/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
 /usr/lib/systemd/system/blk-availability.* -- gen_context(system_u:object_r:lvm_unit_t,s0)
 /usr/lib/systemd/system/dm-event.* -- gen_context(system_u:object_r:lvm_unit_t,s0)
 /usr/lib/systemd/system/lvm2-.*	-- gen_context(system_u:object_r:lvm_unit_t,s0)
 /usr/lib/systemd/system/lvm2-lvmetad.* -- gen_context(system_u:object_r:lvm_unit_t,s0)
+/usr/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
 
-/usr/sbin/clvmd		--	gen_context(system_u:object_r:clvmd_exec_t,s0)
-/usr/sbin/lvm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/clvmd			--	gen_context(system_u:object_r:clvmd_exec_t,s0)
+/usr/sbin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvm			--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvm\.static		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmdiskscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmiopversion		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvs			--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipathd		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvs			--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgbackup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgrestore		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgck			--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgs			--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
 
 #
 # /var

diff --git a/policy/modules/system/modutils.fc b/policy/modules/system/modutils.fc
index c146cc2..410e4b7 100644
--- a/policy/modules/system/modutils.fc
+++ b/policy/modules/system/modutils.fc
@@ -14,6 +14,8 @@ ifdef(`distro_gentoo',`
 
 /lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
 
+/run/tmpfiles\.d/kmod\.conf -- gen_context(system_u:object_r:kmod_var_run_t,s0)
+
 /sbin/depmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
 /sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
 /sbin/insmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
@@ -23,4 +25,14 @@ ifdef(`distro_gentoo',`
 /sbin/update-modules	--	gen_context(system_u:object_r:kmod_exec_t,s0)
 
 /usr/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/run/tmpfiles\.d/kmod\.conf -- gen_context(system_u:object_r:kmod_var_run_t,s0)
+
+/usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
+/usr/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
+
+/usr/sbin/depmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/insmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/modprobe.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/modules-update	--	gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/rmmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
+/usr/sbin/update-modules	--	gen_context(system_u:object_r:kmod_exec_t,s0)

diff --git a/policy/modules/system/mount.fc b/policy/modules/system/mount.fc
index 7844131..9cfb93a 100644
--- a/policy/modules/system/mount.fc
+++ b/policy/modules/system/mount.fc
@@ -7,5 +7,11 @@
 /sbin/zpool			--	gen_context(system_u:object_r:mount_exec_t,s0)
 
 /usr/bin/fusermount		--	gen_context(system_u:object_r:mount_exec_t,s0)
+/usr/bin/mount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
+/usr/bin/umount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
+
+/usr/sbin/mount\.zfs		--	gen_context(system_u:object_r:mount_exec_t,s0)
+/usr/sbin/zfs			--	gen_context(system_u:object_r:mount_exec_t,s0)
+/usr/sbin/zpool			--	gen_context(system_u:object_r:mount_exec_t,s0)
 
 /run/mount(/.*)?			gen_context(system_u:object_r:mount_var_run_t,s0)

diff --git a/policy/modules/system/netlabel.fc b/policy/modules/system/netlabel.fc
index b263a8a..9348c8c 100644
--- a/policy/modules/system/netlabel.fc
+++ b/policy/modules/system/netlabel.fc
@@ -1 +1,3 @@
 /sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
+
+/usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)

diff --git a/policy/modules/system/selinuxutil.fc b/policy/modules/system/selinuxutil.fc
index e9c51b7..1c5d836 100644
--- a/policy/modules/system/selinuxutil.fc
+++ b/policy/modules/system/selinuxutil.fc
@@ -36,6 +36,7 @@
 /usr/lib/systemd/system/restorecond.*\.service -- gen_context(system_u:object_r:restorecond_unit_t,s0)
 
 /usr/sbin/load_policy		--	gen_context(system_u:object_r:load_policy_exec_t,s0)
+/usr/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
 /usr/sbin/restorecond		--	gen_context(system_u:object_r:restorecond_exec_t,s0)
 /usr/sbin/run_init		--	gen_context(system_u:object_r:run_init_exec_t,s0)
 /usr/sbin/setfiles.*		--	gen_context(system_u:object_r:setfiles_exec_t,s0)

diff --git a/policy/modules/system/setrans.fc b/policy/modules/system/setrans.fc
index 837beab..2ed445d 100644
--- a/policy/modules/system/setrans.fc
+++ b/policy/modules/system/setrans.fc
@@ -1,7 +1,9 @@
 /etc/rc\.d/init\.d/mcstrans --	gen_context(system_u:object_r:setrans_initrc_exec_t,s0)
 
+/run/setrans(/.*)?		gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
+
 /sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
 
 /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
 
-/run/setrans(/.*)?		gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
+/usr/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)

diff --git a/policy/modules/system/sysnetwork.fc b/policy/modules/system/sysnetwork.fc
index 02980cb..1847cc5 100644
--- a/policy/modules/system/sysnetwork.fc
+++ b/policy/modules/system/sysnetwork.fc
@@ -57,8 +57,23 @@ ifdef(`distro_redhat',`
 #
 # /usr
 #
-/usr/sbin/iw		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/usr/sbin/tc		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/bin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+
+/usr/sbin/dhclient.*		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
+/usr/sbin/dhcdbd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
+/usr/sbin/dhcpcd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
+/usr/sbin/ethtool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/ipx_configure		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/ipx_interface		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/ipx_internal_net	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/iw			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/iwconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/mii-tool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
+/usr/sbin/pump			--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
+/usr/sbin/tc			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
 
 #
 # /var

diff --git a/policy/modules/system/systemd.fc b/policy/modules/system/systemd.fc
index d66feda..b6a8656 100644
--- a/policy/modules/system/systemd.fc
+++ b/policy/modules/system/systemd.fc
@@ -8,6 +8,16 @@
 /bin/systemd-tmpfiles		--	gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
 /bin/systemd-tty-ask-password-agent		--			gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
 
+/usr/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
+/usr/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
+/usr/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
+/usr/bin/systemd-detect-virt		--	gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
+/usr/bin/systemd-nspawn			--	gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
+/usr/bin/systemd-run			--	gen_context(system_u:object_r:systemd_run_exec_t,s0)
+/usr/bin/systemd-stdio-bridge		--	gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
+/usr/bin/systemd-tmpfiles		--	gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
+/usr/bin/systemd-tty-ask-password-agent	--	gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
+
 /usr/lib/systemd/systemd-activate	--	gen_context(system_u:object_r:systemd_activate_exec_t,s0)
 /usr/lib/systemd/systemd-backlight	--	gen_context(system_u:object_r:systemd_backlight_exec_t,s0)
 /usr/lib/systemd/systemd-binfmt		--	gen_context(system_u:object_r:systemd_binfmt_exec_t,s0)

diff --git a/policy/modules/system/udev.fc b/policy/modules/system/udev.fc
index 00cfe14..698d1dd 100644
--- a/policy/modules/system/udev.fc
+++ b/policy/modules/system/udev.fc
@@ -29,7 +29,15 @@ ifdef(`distro_redhat',`
 
 /usr/bin/udevinfo --	gen_context(system_u:object_r:udev_exec_t,s0)
 
+/usr/sbin/udev		--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevd		--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/wait_for_sysfs --	gen_context(system_u:object_r:udev_exec_t,s0)
+
 /usr/lib/systemd/systemd-udevd -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
 
 /usr/share/virtualbox/VBoxCreateUSBNode\.sh	--	gen_context(system_u:object_r:udev_helper_exec_t,s0)