meta-security/recipes-core/systemd/systemd/0007-tizen-smack-Runs-systemd-journald-with-v216.patch

   1 From ccf384ca0f1cabe37e07e752df95ddb1e017a7ef Mon Sep 17 00:00:00 2001
   2 From: Casey Schaufler <casey@schaufler-ca.com>
   3 Date: Thu, 19 Dec 2013 16:49:28 -0800
   4 Subject: [PATCH 7/9] tizen-smack: Runs systemd-journald with ^
   5
   6 Run systemd-journald with the hat ("^") Smack label.
   7
   8 The journal daemon needs global read access to gather information
   9 about the services spawned by systemd. The hat label is intended
  10 for this purpose. The journal daemon is the only part of the
  11 System domain that needs read access to the User domain. Giving
  12 the journal daemon the hat label means that we can remove the
  13 System domain's read access to the User domain.
  14
  15 Upstream-Status: Inappropriate [configuration]
  16
  17 Change-Id: Ic22633f0c9d99c04f873be8a346786ea577d0370
  18 Signed-off-by: Casey Schaufler <casey.schaufler@intel.com>
  19 ---
  20  units/systemd-journald.service.in | 4 +++-
  21  1 file changed, 3 insertions(+), 1 deletion(-)
  22
  23 diff --git a/units/systemd-journald.service.in b/units/systemd-journald.service.in
  24 index a3540c6..745dd84 100644
  25 --- a/units/systemd-journald.service.in
  26 +++ b/units/systemd-journald.service.in
  27 @@ -20,8 +20,10 @@ Restart=always
  28  RestartSec=0
  29  NotifyAccess=all
  30  StandardOutput=null
  31 +SmackProcessLabel=^
  32 -CapabilityBoundingSet=CAP_SYS_ADMIN CAP_DAC_OVERRIDE CAP_SYS_PTRACE CAP_SYSLOG CAP_AUDIT_CONTROL CAP_CHOWN CAP_DAC_READ_SEARCH CAP_FOWNER CAP_SETUID CAP_SETGID
  33 +CapabilityBoundingSet=CAP_SYS_ADMIN CAP_DAC_OVERRIDE CAP_SYS_PTRACE CAP_SYSLOG CAP_AUDIT_CONTROL CAP_AUDIT_READ CAP_CHOWN CAP_DAC_READ_SEARCH CAP_FOWNER CAP_SETUID CAP_SETGID CAP_MAC_OVERRIDE
  34  WatchdogSec=1min
  35 +FileDescriptorStoreMax=1024
  36
  37  # Increase the default a bit in order to allow many simultaneous
  38  # services being run since we keep one fd open per service.
  39 --
  40 1.8.4.5
  41