<div dir="auto">On my system gnome-shell is getting launched as unconfined_t, but inspecting the default policy source shows that theres already a window manager module (wm.te, wm.fc, wm.if):<div dir="auto"><br></div><div dir="auto"><a href="https://sources.debian.org/src/refpolicy/2%3A2.20250213-11/policy/modules/apps/wm.te">https://sources.debian.org/src/refpolicy/2%3A2.20250213-11/policy/modules/apps/wm.te</a></div><div dir="auto"><br></div><div dir="auto">which does give the execmem permission among other things, but only for wm_domain.</div><div dir="auto"><br></div><div dir="auto">The problem then is that gnome-shell is being launched as unconfined instead of wm_domain.</div><div dir="auto"><br></div><div dir="auto">My selinux is rusty but if I fix it I will post a solution. Then we don't have to allow execmem for everything.</div><div dir="auto"><div dir="auto"><br></div><div dir="auto"><br></div></div></div>