<div dir="auto"><div>I'm looking into it, thanks for your suggestion. I've only written a few profiles, and I'm not too familiar with wayland.</div><div dir="auto"><br></div><div dir="auto">But I think the existing wm.te files in the policy could be adapted, since they contain other rules which are not limited to the X server, like dbus etc.</div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Sat, 1 Nov 2025, 17:49 Antonio Russo, <<a href="mailto:aerusso@aerusso.net" rel="noreferrer noreferrer noreferrer" target="_blank">aerusso@aerusso.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Are you willing to run upstream refpolicy?  There is some momentum gaining<br>
to get wayland confinement working.  If you're using wayland, you might want<br>
to start with policy/modules/session/wayland.*, and use those primitives.  I<br>
have no experience with X SELinux confinement, though.<br>
<br>
I personally use KDE (and have a bunch of SELinux rules that are too dirty<br>
to open an MR for right now).  But, if you open an upstream MR, I'd be<br>
interesting in helping out, especially with standardizing the SELinux<br>
interfaces for confining Wayland graphical sessions.<br>
<br>
Antonio<br>
<br>
On 2025-11-01 09:47, Sarah M wrote:<br>
> On my system gnome-shell is getting launched as unconfined_t, but<br>
> inspecting the default policy source shows that theres already a window<br>
> manager module (wm.te, wm.fc, wm.if):<br>
> <br>
> <a href="https://sources.debian.org/src/refpolicy/2%3A2.20250213-11/policy/modules/apps/wm.te" rel="noreferrer noreferrer noreferrer noreferrer noreferrer" target="_blank">https://sources.debian.org/src/refpolicy/2%3A2.20250213-11/policy/modules/apps/wm.te</a><br>
> <br>
> which does give the execmem permission among other things, but only for<br>
> wm_domain.<br>
> <br>
> The problem then is that gnome-shell is being launched as unconfined<br>
> instead of wm_domain.<br>
> <br>
> My selinux is rusty but if I fix it I will post a solution. Then we don't<br>
> have to allow execmem for everything.<br>
> <br>
> <br>
> _______________________________________________<br>
> SELinux-devel mailing list<br>
> <a href="mailto:SELinux-devel@alioth-lists.debian.net" rel="noreferrer noreferrer noreferrer noreferrer" target="_blank">SELinux-devel@alioth-lists.debian.net</a><br>
> <a href="https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/selinux-devel" rel="noreferrer noreferrer noreferrer noreferrer noreferrer" target="_blank">https://alioth-lists.debian.net/cgi-bin/mailman/listinfo/selinux-devel</a><br>
<br>
-- <br>
To unsubscribe, send mail to <a href="mailto:1070039-unsubscribe@bugs.debian.org" rel="noreferrer noreferrer noreferrer noreferrer" target="_blank">1070039-unsubscribe@bugs.debian.org</a>.<br>
</blockquote></div></div></div>