[refpolicy] [PATCH] usrmerge

[refpolicy] [PATCH] usrmerge

[Russell Coker]

The following patch supports making /sbin, /lib*, and /bin symlinks to the
same named directories under /usr.  This change is accomplished in Debian by
installing the "usrmerge" package and is apparently the default in Fedora.

These changes have been tested in Debian and found to give the same labelling
as the policy without this patch in almost all cases.  The exceptions were
files where the .fc files in question used one of /bin or /usr/bin that didn't
match what was done in Debian.  The small number of changes to the policy
caused by this patch FIXED outstanding bugs.

I expect that this won't give any changes to Fedora and it might fix some bugs
for Gentoo and SUSE.

What it does is remove all duplicates in /bin and /usr/bin etc and uses a
subs_dist change to make the /usr change not affect policy.

diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
--- /home/rjc/src/pol-git/config/file_contexts.subs_dist	2016-12-27 23:12:20.905413820 +1100
+++ ./config/file_contexts.subs_dist	2017-01-10 18:17:55.371528374 +1100
@@ -8,10 +8,14 @@
 # It does not perform substitutions as done by sed(1), for
 # example, but aliasing.
 #
+/bin /usr/bin
+/lib /usr/lib
+/lib32 /usr/lib
+/lib64 /usr/lib
+/libx32 /usr/libx32
+/sbin /usr/sbin
 /etc/init.d /etc/rc.d/init.d
 /lib/systemd /usr/lib/systemd
-/lib32 /lib
-/lib64 /lib
 /run/lock /var/lock
 /usr/lib32 /usr/lib
 /usr/lib64 /usr/lib
diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
--- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc	2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/bootloader.fc	2017-01-10 17:58:32.497974441 +1100
@@ -8,9 +8,8 @@
 /etc/yaboot\.conf.*	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
 /etc/grub.d(/.*)?	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
 
-/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
-/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
-/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
+/usr/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
 
 /usr/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
 /usr/sbin/grub2?-bios-setup	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
--- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc	2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/consoletype.fc	2017-01-10 18:00:33.225777203 +1100
@@ -1,4 +1 @@
-
-/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
-
 /usr/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
--- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc	2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/dmesg.fc	2017-01-10 17:59:13.147255406 +1100
@@ -1,4 +1,2 @@
 
-/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
-
 /usr/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
--- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc	2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/netutils.fc	2017-01-10 17:58:32.497974441 +1100
@@ -1,8 +1,5 @@
-/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
-/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
-/bin/traceroute.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
-
-/sbin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
+/usr/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
+/usr/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
 
 /usr/bin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
 /usr/bin/lft		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
--- /home/rjc/src/pol-git/policy/modules/admin/su.fc	2016-12-31 21:09:24.669504632 +1100
+++ ./policy/modules/admin/su.fc	2017-01-10 17:58:32.497974441 +1100
@@ -1,5 +1,5 @@
 
-/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
+/usr/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
 
 /usr/(local/)?bin/ksu	--	gen_context(system_u:object_r:su_exec_t,s0)
 /usr/bin/kdesu		--	gen_context(system_u:object_r:su_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
--- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc	2016-07-28 20:33:39.959961616 +1000
+++ ./policy/modules/admin/usermanage.fc	2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,3 @@
-ifdef(`distro_gentoo',`
-/bin/passwd		--	gen_context(system_u:object_r:passwd_exec_t,s0)
-')
-
 ifdef(`distro_debian',`
 /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
 ')
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc	2016-07-30 08:14:41.065649021 +1000
+++ ./policy/modules/contrib/acct.fc	2017-01-10 17:58:34.106025127 +1100
@@ -2,8 +2,6 @@
 
 /etc/rc\.d/init\.d/psacct	--	gen_context(system_u:object_r:acct_initrc_exec_t,s0)
 
-/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
-
 /usr/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
 
 /var/account(/.*)?	gen_context(system_u:object_r:acct_data_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc	2016-08-22 21:43:27.015004974 +1000
+++ ./policy/modules/contrib/alsa.fc	2017-01-10 17:58:34.106025127 +1100
@@ -4,14 +4,9 @@
 /\.config(/.*)?	gen_context(system_u:object_r:alsa_var_lib_t,s0)
 ')
 
-/bin/alsaunmute	--	gen_context(system_u:object_r:alsa_exec_t,s0)
-
 /etc/alsa(/.*)?		gen_context(system_u:object_r:alsa_etc_t,s0)
 /etc/asound\.conf	gen_context(system_u:object_r:alsa_etc_t,s0)
 
-/sbin/alsactl	--	gen_context(system_u:object_r:alsa_exec_t,s0)
-/sbin/salsa	--	gen_context(system_u:object_r:alsa_exec_t,s0)
-
 # Systemd unit files
 /usr/lib/systemd/system/[^/]*alsa-restore.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
 /usr/lib/systemd/system/[^/]*alsa-state.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc	2016-12-27 23:12:23.553486634 +1100
+++ ./policy/modules/contrib/apcupsd.fc	2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,5 @@
 /etc/rc\.d/init\.d/apcupsd	--	gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
 
-/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
-
 /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
 
 /usr/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc	2016-12-27 23:12:23.553486634 +1100
+++ ./policy/modules/contrib/cachefilesd.fc	2017-01-10 17:58:34.106025127 +1100
@@ -1,7 +1,5 @@
 /etc/rc\.d/init\.d/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
 
-/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
-
 /usr/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
 
 /var/cache/fscache(/.*)?	gen_context(system_u:object_r:cachefilesd_cache_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc	2016-12-27 23:12:23.557486744 +1100
+++ ./policy/modules/contrib/ccs.fc	2017-01-10 17:58:34.106025127 +1100
@@ -2,8 +2,6 @@
 
 /etc/rc\.d/init\.d/((ccs)|(ccsd))	--	gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
 
-/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
-
 /usr/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
 
 /var/lib/cluster/((ccs)|(ccsd)).*	gen_context(system_u:object_r:ccs_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc	2016-12-27 23:12:23.557486744 +1100
+++ ./policy/modules/contrib/cgroup.fc	2017-01-10 17:58:34.110025253 +1100
@@ -7,10 +7,6 @@
 /etc/rc\.d/init\.d/cgconfig	--	gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
 /etc/rc\.d/init\.d/cgred	--	gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
 
-/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
-/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
-/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
-
 /usr/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
 /usr/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
 /usr/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc	2016-12-31 21:09:27.281585112 +1100
+++ ./policy/modules/contrib/cpucontrol.fc	2017-01-10 17:58:34.110025253 +1100
@@ -1,6 +1,4 @@
-/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
-
-/sbin/microcode_ctl	--	gen_context(system_u:object_r:cpucontrol_exec_t,s0)
+/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
 
 /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc	2016-12-31 21:09:27.281585112 +1100
+++ ./policy/modules/contrib/cups.fc	2017-01-10 17:58:35.146057909 +1100
@@ -18,8 +18,6 @@
 
 /etc/printcap.*	--	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
 
-/lib/udev/udev-configure-printer	--	gen_context(system_u:object_r:cupsd_config_exec_t,s0)
-
 /opt/brother/Printers(.*/)?inf(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
 /opt/gutenprint/ppds(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc	2016-12-27 23:12:23.561486854 +1100
+++ ./policy/modules/contrib/dbus.fc	2017-01-10 17:58:34.110025253 +1100
@@ -2,9 +2,7 @@
 
 /etc/dbus-.*(/.*)?	gen_context(system_u:object_r:dbusd_etc_t,s0)
 
-/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
-
-/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
+/usr/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
 
 /usr/bin/dbus-daemon(-1)?	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc	2016-12-27 23:12:23.565486964 +1100
+++ ./policy/modules/contrib/devicekit.fc	2017-01-10 17:58:35.146057909 +1100
@@ -1,6 +1,3 @@
-/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
-/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
-
 /usr/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
 /usr/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
 /usr/lib/udisks/udisks-daemon	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc	2016-07-30 08:14:41.097649866 +1000
+++ ./policy/modules/contrib/drbd.fc	2017-01-10 17:58:34.110025253 +1100
@@ -1,8 +1,5 @@
 /etc/rc\.d/init\.d/drbd	--	gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
 
-/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
-/sbin/drbdsetup	--	gen_context(system_u:object_r:drbd_exec_t,s0)
-
 /usr/lib/ocf/resource.\d/linbit/drbd	--	gen_context(system_u:object_r:drbd_exec_t,s0)
 
 /usr/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc	2016-12-27 23:12:23.577487294 +1100
+++ ./policy/modules/contrib/iscsi.fc	2017-01-10 17:58:34.110025253 +1100
@@ -1,9 +1,5 @@
 /etc/rc\.d/init\.d/((iscsi)|(iscsid))	--	gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
 
-/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
-/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
-/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
-
 /usr/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
 /usr/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
 /usr/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc	2016-08-07 19:54:37.787262067 +1000
+++ ./policy/modules/contrib/kdump.fc	2017-01-10 17:58:34.110025253 +1100
@@ -2,14 +2,9 @@
 
 /etc/rc\.d/init\.d/kdump	--	gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
 
-/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
-
 /usr/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
 
 /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
 
-/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
-/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
-
 /usr/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
 /usr/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc	2016-12-27 23:12:23.577487294 +1100
+++ ./policy/modules/contrib/kudzu.fc	2017-01-10 17:58:34.110025253 +1100
@@ -1,8 +1,5 @@
 /etc/rc\.d/init\.d/kudzu	--	gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
 
-/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
-/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
-
 /usr/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
 /usr/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc	2017-01-10 17:57:41.780375375 +1100
+++ ./policy/modules/contrib/loadkeys.fc	2017-01-10 18:00:07.648971992 +1100
@@ -1,5 +1,2 @@
-/bin/loadkeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
-/bin/unikeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
-
 /usr/bin/loadkeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
 /usr/bin/unikeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc	2016-07-30 08:14:41.121650499 +1000
+++ ./policy/modules/contrib/mta.fc	2017-01-10 17:58:35.118057026 +1100
@@ -5,8 +5,6 @@
 HOME_DIR/Maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
 HOME_DIR/\.maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
 
-/bin/mail(x)?	--	gen_context(system_u:object_r:sendmail_exec_t,s0)
-
 /etc/aliases	--	gen_context(system_u:object_r:etc_aliases_t,s0)
 /etc/aliases\.db	--	gen_context(system_u:object_r:etc_aliases_t,s0)
 /etc/mail(/.*)?	gen_context(system_u:object_r:etc_mail_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc	2016-12-27 23:12:23.597487844 +1100
+++ ./policy/modules/contrib/networkmanager.fc	2017-01-10 17:58:35.118057026 +1100
@@ -21,9 +21,6 @@
 /usr/lib/systemd/system/[^/]*NetworkManager.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
 /usr/lib/systemd/system/[^/]*wpa_supplicant.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
 
-/sbin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
-/sbin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
-
 /usr/bin/NetworkManager	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
 /usr/bin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
 /usr/bin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc	2016-12-27 23:12:23.597487844 +1100
+++ ./policy/modules/contrib/nis.fc	2017-01-10 17:58:35.118057026 +1100
@@ -5,8 +5,6 @@
 
 /etc/ypserv\.conf	--	gen_context(system_u:object_r:ypserv_conf_t,s0)
 
-/sbin/ypbind	--	gen_context(system_u:object_r:ypbind_exec_t,s0)
-
 /usr/lib/yp/ypxfr	--	gen_context(system_u:object_r:ypxfr_exec_t,s0)
 
 /usr/lib/systemd/system/ypbind.*\.service    --      gen_context(system_u:object_r:ypbind_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc	2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/nut.fc	2017-01-10 17:58:35.122057152 +1100
@@ -4,10 +4,6 @@
 /etc/rc\.d/init\.d/nut-driver	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
 /etc/rc\.d/init\.d/nut-server	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
 
-/sbin/upsd	--	gen_context(system_u:object_r:nut_upsd_exec_t,s0)
-/sbin/upsdrvctl	--	gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
-/sbin/upsmon	--	gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
-
 /usr/lib/cgi-bin/nut/upsimage\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
 /usr/lib/cgi-bin/nut/upsset\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
 /usr/lib/cgi-bin/nut/upsstats\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc	2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/oddjob.fc	2017-01-10 17:58:35.122057152 +1100
@@ -1,5 +1,3 @@
-/sbin/mkhomedir_helper	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
-
 /usr/lib/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
 
 /usr/libexec/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc	2016-12-27 23:12:23.601487954 +1100
+++ ./policy/modules/contrib/pcmcia.fc	2017-01-10 17:58:35.122057152 +1100
@@ -1,8 +1,5 @@
 /etc/apm/event\.d/pcmcia	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
 
-/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
-/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
-
 /usr/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
 /usr/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc	2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/plymouthd.fc	2017-01-10 17:58:35.122057152 +1100
@@ -1,7 +1,3 @@
-/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
-
-/sbin/plymouthd	--	gen_context(system_u:object_r:plymouthd_exec_t,s0)
-
 /usr/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
 
 # Systemd unit file
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc	2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/portmap.fc	2017-01-10 17:58:35.122057152 +1100
@@ -1,9 +1,5 @@
 /etc/rc\.d/init\.d/portmap	--	gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
 
-/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
-/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
-/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
-
 /usr/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
 /usr/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
 /usr/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc	2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/portreserve.fc	2017-01-10 17:58:35.122057152 +1100
@@ -2,8 +2,6 @@
 
 /etc/rc\.d/init\.d/portreserve	--	gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
 
-/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
-
 /usr/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
 
 /run/portreserve(/.*)?	gen_context(system_u:object_r:portreserve_var_run_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc	2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/ppp.fc	2017-01-10 17:58:35.126057278 +1100
@@ -9,9 +9,6 @@
 /etc/ppp/resolv\.conf	--	gen_context(system_u:object_r:pppd_etc_rw_t,s0)
 /etc/ppp/(auth|ip(v6|x)?)-(up|down)	--	gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
 
-/sbin/ppp-watch	--	gen_context(system_u:object_r:pppd_exec_t,s0)
-/sbin/pppoe-server	--	gen_context(system_u:object_r:pppd_exec_t,s0)
-
 /usr/lib/systemd/system/ppp.*\.service      --      gen_context(system_u:object_r:pppd_unit_t,s0)
 
 /usr/sbin/ipppd	--	gen_context(system_u:object_r:pppd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc	2016-12-27 23:12:23.605488064 +1100
+++ ./policy/modules/contrib/prelude.fc	2017-01-10 17:58:35.126057278 +1100
@@ -4,8 +4,6 @@
 /etc/rc\.d/init\.d/prelude-lml	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
 /etc/rc\.d/init\.d/prelude-manager	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
 
-/sbin/audisp-prelude	--	gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
-
 /usr/bin/prelude-correlator	--	gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
 /usr/bin/prelude-lml	--	gen_context(system_u:object_r:prelude_lml_exec_t,s0)
 /usr/bin/prelude-manager	--	gen_context(system_u:object_r:prelude_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc	2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/quota.fc	2017-01-10 17:58:35.126057278 +1100
@@ -10,9 +10,6 @@
 
 /etc/rc\.d/init\.d/quota_nld	--	gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
 
-/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
-/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
-
 /usr/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
 /usr/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
 /usr/sbin/quota_nld	--	gen_context(system_u:object_r:quota_nld_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc	2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/raid.fc	2017-01-10 17:58:35.126057278 +1100
@@ -3,14 +3,6 @@
 
 /etc/rc\.d/init\.d/mdmonitor	--	gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
 
-/sbin/iprdump	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/iprinit	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/iprupdate	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdadm	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdmon	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/mdmpd	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-/sbin/raid-check	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
-
 # Systemd unit files
 /usr/lib/systemd/system/[^/]*mdadm-.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
 /usr/lib/systemd/system/[^/]*mdmon.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc	2016-07-30 08:14:41.141651028 +1000
+++ ./policy/modules/contrib/rdisc.fc	2017-01-10 17:58:35.126057278 +1100
@@ -1,3 +1 @@
-/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
-
 /usr/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc	2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/readahead.fc	2017-01-10 17:58:35.126057278 +1100
@@ -1,5 +1,3 @@
-/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
-
 /usr/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
 
 /var/lib/readahead(/.*)?	gen_context(system_u:object_r:readahead_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc	2016-12-27 23:12:23.609488174 +1100
+++ ./policy/modules/contrib/resmgr.fc	2017-01-10 17:58:35.126057278 +1100
@@ -2,8 +2,6 @@
 
 /etc/rc\.d/init\.d/resmgr	--	gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
 
-/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
-
 /usr/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
 
 /run/\.resmgr_socket	-s	gen_context(system_u:object_r:resmgrd_var_run_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc	2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/rpcbind.fc	2017-01-10 17:58:35.130057404 +1100
@@ -1,7 +1,5 @@
 /etc/rc\.d/init\.d/rpcbind	--	gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
 
-/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
-
 /usr/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
 
 /var/cache/rpcbind(/.*)?	gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc	2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/rpc.fc	2017-01-10 17:58:35.130057404 +1100
@@ -4,9 +4,6 @@
 /etc/rc\.d/init\.d/nfslock	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
 /etc/rc\.d/init\.d/rpcidmapd	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
 
-/sbin/rpc\..*	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
-/sbin/sm-notify	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
-
 /usr/lib/systemd/system/nfs.*\.service --   gen_context(system_u:object_r:nfsd_unit_t,s0)
 /usr/lib/systemd/system/rpc.*\.service --   gen_context(system_u:object_r:rpcd_unit_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc	2016-12-31 21:09:27.285585236 +1100
+++ ./policy/modules/contrib/rpm.fc	2017-01-10 17:58:35.130057404 +1100
@@ -1,8 +1,6 @@
-/bin/rpm	--	gen_context(system_u:object_r:rpm_exec_t,s0)
-
 /etc/rc\.d/init\.d/bcfg2	--	gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
 
-/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
+/usr/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
 
 /usr/bin/debuginfo-install	--	gen_context(system_u:object_r:debuginfo_exec_t,s0)
 /usr/bin/fedora-rmdevelrpms	--	gen_context(system_u:object_r:rpm_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc	2016-07-30 08:14:41.149651239 +1000
+++ ./policy/modules/contrib/shorewall.fc	2017-01-10 17:58:35.130057404 +1100
@@ -3,9 +3,6 @@
 /etc/shorewall(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
 /etc/shorewall-lite(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
 
-/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
-/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
-
 /usr/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
 /usr/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc	2016-12-27 23:12:23.613488284 +1100
+++ ./policy/modules/contrib/shutdown.fc	2017-01-10 17:58:35.130057404 +1100
@@ -1,9 +1,5 @@
 /etc/nologin	--	gen_context(system_u:object_r:shutdown_etc_t,s0)
 
-/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
-
-/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
-
 /usr/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
 
 /usr/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc	2016-07-30 08:14:41.157651450 +1000
+++ ./policy/modules/contrib/usbmodules.fc	2017-01-10 17:58:35.130057404 +1100
@@ -1,3 +1 @@
-/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
-
 /usr/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc	2016-12-27 23:12:23.621488504 +1100
+++ ./policy/modules/contrib/vpn.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,5 +1,3 @@
-/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
-
 /usr/bin/openconnect	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
 
 /usr/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
--- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc	2016-07-30 08:14:41.165651661 +1000
+++ ./policy/modules/contrib/zosremote.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,3 +1 @@
-/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
-
 /usr/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc	2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/corecommands.fc	2017-01-10 18:02:00.404520096 +1100
@@ -1,19 +1,17 @@
 #
 # /bin
 #
-/bin				-d	gen_context(system_u:object_r:bin_t,s0)
-/bin/.*					gen_context(system_u:object_r:bin_t,s0)
-/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/fish			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/mountpoint			--	gen_context(system_u:object_r:bin_t,s0)
-/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/tcsh			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
-/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin				gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/.*				gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/mountpoint		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
 
 #
 # /dev
@@ -131,30 +129,30 @@
 # /lib
 #
 
-/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
-/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
-/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
-/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
-/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 
 ifdef(`distro_gentoo',`
-/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
 
-/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
-/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
 ')
 
 #
 # /sbin
 #
-/sbin				-d	gen_context(system_u:object_r:bin_t,s0)
-/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
-/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
-/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
-/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
+/usr/sbin				gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
+/usr/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
 
 #
 # /opt
@@ -181,7 +179,7 @@
 # /usr
 #
 /usr/(.*/)?Bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-/usr/(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/bin(/.*)?				gen_context(system_u:object_r:bin_t,s0)
 /usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
@@ -196,10 +194,10 @@
 /usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
 
-/usr/lib(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/(.*/)?bin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 
 /usr/(.*/)?sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-/usr/lib(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
+/usr/lib/(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 
 /usr/lib/at-spi2-core(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/avahi/avahi-daemon-check-dns\.sh	--	gen_context(system_u:object_r:bin_t,s0)
@@ -284,14 +282,14 @@
 /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
 /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
 
-/usr/lib/xen/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
-
 /usr/libexec(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/libexec/git-core/git-shell	--	gen_context(system_u:object_r:shell_exec_t,s0)
 /usr/libexec/sesh		--	gen_context(system_u:object_r:shell_exec_t,s0)
 
 /usr/libexec/openssh/sftp-server --	gen_context(system_u:object_r:bin_t,s0)
 
+/usr/local/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
+/usr/local/sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
 /usr/local/Brother(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/local/Printer(/.*)?		gen_context(system_u:object_r:bin_t,s0)
 /usr/local/linuxprinter/filters(/.*)?	gen_context(system_u:object_r:bin_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc	2017-01-10 17:57:39.236295140 +1100
+++ ./policy/modules/kernel/corenetwork.fc	2017-01-10 18:02:39.949763456 +1100
@@ -5,8 +5,5 @@
 
 /dev/net/.*		-c	gen_context(system_u:object_r:tun_tap_device_t,s0)
 
-/lib/udev/devices/ppp	-c	gen_context(system_u:object_r:ppp_device_t,s0)
-/lib/udev/devices/net/.* -c	gen_context(system_u:object_r:tun_tap_device_t,s0)
-
 /usr/lib/udev/devices/ppp -c	gen_context(system_u:object_r:ppp_device_t,s0)
 /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc	2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/devices.fc	2017-01-10 17:58:35.146057909 +1100
@@ -194,10 +194,10 @@
 /etc/udev/devices	-d	gen_context(system_u:object_r:device_t,s0)
 
 # used by init scripts to initally populate udev /dev
-/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
-/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
-/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
-/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
+/usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
+/usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
+/usr/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
+/usr/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
 
 /usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
 /usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/files.fc	2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/files.fc	2017-01-10 18:03:25.659199980 +1100
@@ -106,12 +106,12 @@
 #
 # /lib(64)?
 #
-/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
+/usr/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
 
 ifdef(`distro_debian',`
 # on Debian /lib/init/rw is a tmpfs used like /var/run but
 # before /var is mounted
-/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
+/usr/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
 ')
 
 #
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc	2016-12-31 21:09:24.673504756 +1100
+++ ./policy/modules/kernel/filesystem.fc	2017-01-10 17:58:35.150058035 +1100
@@ -6,10 +6,10 @@
 /dev/shm		-d	gen_context(system_u:object_r:tmpfs_t,s0)
 /dev/shm/.*			<<none>>
 
-/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
-/lib/udev/devices/hugepages/.*	<<none>>
-/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
-/lib/udev/devices/shm/.*	<<none>>
+/usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
+/usr/lib/udev/devices/hugepages/.*	<<none>>
+/usr/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
+/usr/lib/udev/devices/shm/.*	<<none>>
 
 /usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
 /usr/lib/udev/devices/hugepages/.*	<<none>>
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc	2016-12-31 21:09:24.677504879 +1100
+++ ./policy/modules/kernel/storage.fc	2017-01-10 18:04:16.428794725 +1100
@@ -83,8 +83,5 @@
 
 /dev/usb/rio500		-c	gen_context(system_u:object_r:removable_device_t,s0)
 
-/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
-/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
-
 /usr/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
 /usr/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
--- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc	2017-01-10 17:57:39.236295140 +1100
+++ ./policy/modules/kernel/terminal.fc	2017-01-10 17:58:35.762077323 +1100
@@ -41,5 +41,5 @@
 /dev/tts/[0-9]+		-c	gen_context(system_u:object_r:tty_device_t,s0)
 
 # used by init scripts to initally populate udev /dev
-/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
+/usr/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
 ')
diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
--- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc	2016-12-31 21:09:24.677504879 +1100
+++ ./policy/modules/system/authlogin.fc	2017-01-10 18:07:41.183333055 +1100
@@ -1,5 +1,5 @@
 
-/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
+/usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
 
 /etc/\.pwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
 /etc/group\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
@@ -7,13 +7,10 @@
 /etc/passwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
 /etc/shadow.*		--	gen_context(system_u:object_r:shadow_t,s0)
 
-/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
-/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
-/sbin/unix_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
-/sbin/unix_update	--	gen_context(system_u:object_r:updpwd_exec_t,s0)
-/sbin/unix_verify	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
+/usr/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
 ifdef(`distro_suse', `
-/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
+/usr/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
 ')
 
 /usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
--- /home/rjc/src/pol-git/policy/modules/system/clock.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/clock.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,6 +1,6 @@
 
 /etc/adjtime		--	gen_context(system_u:object_r:adjtime_t,s0)
 
-/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
+/usr/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
 
 /usr/sbin/hwclock	--	gen_context(system_u:object_r:hwclock_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
--- /home/rjc/src/pol-git/policy/modules/system/fstools.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/fstools.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,47 +1,42 @@
-/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/fsck.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkfs.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/parted		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/partprobe		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/partx		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
-/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
+/usr/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
 
 /usr/bin/partition_uuid	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
 /usr/bin/raw		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
--- /home/rjc/src/pol-git/policy/modules/system/getty.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/getty.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,7 +1,7 @@
 
 /etc/mgetty(/.*)?		gen_context(system_u:object_r:getty_etc_t,s0)
 
-/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
+/usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
 
 /usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
--- /home/rjc/src/pol-git/policy/modules/system/hostname.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/hostname.fc	2017-01-10 17:58:35.134057530 +1100
@@ -1,4 +1,4 @@
 
-/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
+/usr/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
 
 /usr/bin/hostname	--	gen_context(system_u:object_r:hostname_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
--- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/hotplug.fc	2017-01-10 17:58:35.138057656 +1100
@@ -7,8 +7,8 @@
 /run/usb(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
 /run/hotplug(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
 
-/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
-/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
+/usr/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
+/usr/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
 
 /usr/sbin/hotplug	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
 /usr/sbin/netplugd	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
--- /home/rjc/src/pol-git/policy/modules/system/init.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/init.fc	2017-01-10 17:58:35.138057656 +1100
@@ -22,21 +22,17 @@
 #
 # /lib
 #
-/lib/systemd/systemd	--	gen_context(system_u:object_r:init_exec_t,s0)
 
 ifdef(`distro_gentoo', `
-/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
+/usr/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
 ')
 
 #
 # /sbin
 #
-/sbin/init(ng)?		--	gen_context(system_u:object_r:init_exec_t,s0)
-# because nowadays, /sbin/init is often a symlink to /sbin/upstart
-/sbin/upstart		--	gen_context(system_u:object_r:init_exec_t,s0)
 
 ifdef(`distro_gentoo', `
-/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
+/usr/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
 ')
 
 #
diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
--- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc	2016-12-27 23:12:20.925414371 +1100
+++ ./policy/modules/system/ipsec.fc	2017-01-10 17:58:35.138057656 +1100
@@ -18,8 +18,6 @@
 /etc/swanctl			-d	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
 /etc/swanctl/swanctl.conf	--	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
 
-/sbin/setkey			--	gen_context(system_u:object_r:setkey_exec_t,s0)
-
 /usr/lib/ipsec/_plutoload	-- 	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
 /usr/lib/ipsec/_plutorun	--	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
 /usr/lib/ipsec/eroute		--	gen_context(system_u:object_r:ipsec_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
--- /home/rjc/src/pol-git/policy/modules/system/iptables.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/iptables.fc	2017-01-10 17:58:35.138057656 +1100
@@ -4,18 +4,16 @@
 /etc/sysconfig/ip6?tables.*	--	gen_context(system_u:object_r:iptables_conf_t,s0)
 /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
 
-/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipchains.*		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipset			--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
-/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
+/usr/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
 
 /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
 /usr/lib/systemd/system/[^/]*ebtables.*	 -- gen_context(system_u:object_r:iptables_unit_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
--- /home/rjc/src/pol-git/policy/modules/system/libraries.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/libraries.fc	2017-01-10 17:58:35.138057656 +1100
@@ -35,12 +35,13 @@
 #
 # /lib(64)?
 #
-/lib					-d	gen_context(system_u:object_r:lib_t,s0)
-/lib					-l	gen_context(system_u:object_r:lib_t,s0)
-/lib/.*						gen_context(system_u:object_r:lib_t,s0)
-/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
+/usr/lib					gen_context(system_u:object_r:lib_t,s0)
+/usr/lib64					gen_context(system_u:object_r:lib_t,s0)
+/usr/lib/.*					gen_context(system_u:object_r:lib_t,s0)
+/usr/lib64/.*					gen_context(system_u:object_r:lib_t,s0)
+/usr/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
 
-/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
+/usr/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
 
 #
 # /opt
@@ -93,7 +94,7 @@
 #
 # /sbin
 #
-/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
+/usr/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
 
 #
 # /usr
@@ -108,7 +109,7 @@
 /usr/(.*/)?lib(/.*)?				gen_context(system_u:object_r:lib_t,s0)
 /usr/(.*/)?lib64(/.*)?				gen_context(system_u:object_r:lib_t,s0)
 
-/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
+/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
 
 /usr/(.*/)?nvidia/.+\.so(\..*)?		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
 
@@ -166,10 +167,6 @@
 /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
 /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
 
-ifdef(`distro_debian',`
-/usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
-')
-
 ifdef(`distro_gentoo',`
 /usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
 ')
diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
--- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/locallogin.fc	2017-01-10 17:58:35.138057656 +1100
@@ -1,6 +1,6 @@
 
-/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
-/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
+/usr/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
+/usr/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
 
 /usr/sbin/sulogin	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
 /usr/sbin/sushell	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
--- /home/rjc/src/pol-git/policy/modules/system/logging.fc	2016-12-31 21:09:24.681505002 +1100
+++ ./policy/modules/system/logging.fc	2017-01-10 17:58:35.138057656 +1100
@@ -6,17 +6,6 @@
 /etc/rc\.d/init\.d/auditd --	gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
 /etc/rc\.d/init\.d/rsyslog --	gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
 
-/sbin/audispd		--	gen_context(system_u:object_r:audisp_exec_t,s0)
-/sbin/audisp-remote	--	gen_context(system_u:object_r:audisp_remote_exec_t,s0)
-/sbin/auditctl		--	gen_context(system_u:object_r:auditctl_exec_t,s0)
-/sbin/auditd		--	gen_context(system_u:object_r:auditd_exec_t,s0)
-/sbin/klogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
-/sbin/minilogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/rklogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
-/sbin/rsyslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/syslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
-/sbin/syslog-ng		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
-
 /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
 /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
 /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
--- /home/rjc/src/pol-git/policy/modules/system/lvm.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/lvm.fc	2017-01-10 17:58:35.142057783 +1100
@@ -7,7 +7,7 @@
 # /bin
 #
 ifdef(`distro_gentoo',`
-/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
 ')
 
 #
@@ -26,65 +26,64 @@
 #
 # /lib
 #
-/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
 
 #
 # /sbin
 #
-/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
-/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
+/usr/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
 
 #
 # /usr
diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
--- /home/rjc/src/pol-git/policy/modules/system/modutils.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/modutils.fc	2017-01-10 18:09:53.291691208 +1100
@@ -1,5 +1,3 @@
-/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
-
 /etc/modules\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
 /etc/modprobe\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
 /etc/modprobe\.d(/.*)?		gen_context(system_u:object_r:modules_conf_t,s0)
@@ -10,20 +8,8 @@
 /etc/modprobe.devfs.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
 ')
 
-/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
-
-/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
-
 /run/tmpfiles.d(/.*)?	gen_context(system_u:object_r:kmod_var_run_t,s0)
 
-/sbin/depmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/insmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/modprobe.*	--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/modules-update	--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/rmmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
-/sbin/update-modules	--	gen_context(system_u:object_r:kmod_exec_t,s0)
-
 /usr/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
 
 /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
--- /home/rjc/src/pol-git/policy/modules/system/mount.fc	2017-01-10 17:57:39.244295392 +1100
+++ ./policy/modules/system/mount.fc	2017-01-10 18:10:39.753222015 +1100
@@ -1,11 +1,3 @@
-/bin/fusermount			--	gen_context(system_u:object_r:mount_exec_t,s0)
-/bin/mount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
-/bin/umount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
-
-/sbin/mount\.zfs		--	gen_context(system_u:object_r:mount_exec_t,s0)
-/sbin/zfs			--	gen_context(system_u:object_r:mount_exec_t,s0)
-/sbin/zpool			--	gen_context(system_u:object_r:mount_exec_t,s0)
-
 /usr/bin/fusermount		--	gen_context(system_u:object_r:mount_exec_t,s0)
 /usr/bin/mount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
 /usr/bin/umount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
--- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/netlabel.fc	2017-01-10 17:58:35.142057783 +1100
@@ -1,3 +1,3 @@
-/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
+/usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
 
 /usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
--- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/selinuxutil.fc	2017-01-10 17:58:35.142057783 +1100
@@ -22,9 +22,7 @@
 #
 # /sbin
 #
-/sbin/load_policy		--	gen_context(system_u:object_r:load_policy_exec_t,s0)
-/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
-/sbin/setfiles.*		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
+/usr/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
 
 #
 # /usr
diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
--- /home/rjc/src/pol-git/policy/modules/system/setrans.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/setrans.fc	2017-01-10 17:58:35.142057783 +1100
@@ -2,7 +2,7 @@
 
 /run/setrans(/.*)?		gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
 
-/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
+/usr/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
 
 /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
 
diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
--- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/sysnetwork.fc	2017-01-10 18:16:40.301068723 +1100
@@ -1,11 +1,5 @@
 
 #
-# /bin
-#
-/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/bin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-
-#
 # /dev
 #
 ifdef(`distro_debian',`
@@ -37,24 +31,6 @@
 ')
 
 #
-# /sbin
-#
-/sbin/dhclient.*	--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/dhcdbd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/dhcpcd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/ethtool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ip		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_configure	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_interface	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/ipx_internal_net	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/iw		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/iwconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/mii-tool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-/sbin/pump		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
-/sbin/tc		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
-
-#
 # /usr
 #
 /usr/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
--- /home/rjc/src/pol-git/policy/modules/system/systemd.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/systemd.fc	2017-01-10 18:18:57.213552868 +1100
@@ -1,13 +1,3 @@
-/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
-/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
-/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
-/bin/systemd-detect-virt	--	gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
-/bin/systemd-nspawn			--	gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
-/bin/systemd-run			--	gen_context(system_u:object_r:systemd_run_exec_t,s0)
-/bin/systemd-stdio-bridge	--	gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
-/bin/systemd-tmpfiles		--	gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
-/bin/systemd-tty-ask-password-agent		--			gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
-
 /usr/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
 /usr/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
 /usr/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
--- /home/rjc/src/pol-git/policy/modules/system/udev.fc	2016-12-31 21:09:24.685505126 +1100
+++ ./policy/modules/system/udev.fc	2017-01-10 18:20:03.463719957 +1100
@@ -9,22 +9,22 @@
 /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
 /etc/udev/scripts/.+ --	gen_context(system_u:object_r:udev_helper_exec_t,s0)
 
-/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
 
 ifdef(`distro_debian',`
-/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
 ')
 
-/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
-/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
 
 ifdef(`distro_redhat',`
-/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
+/usr/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
 ')
 
 /usr/bin/udevinfo --	gen_context(system_u:object_r:udev_exec_t,s0)
@@ -44,6 +44,5 @@
 /run/udev(/.*)?	gen_context(system_u:object_r:udev_var_run_t,s0)
 
 ifdef(`distro_debian',`
-/lib/systemd/systemd-udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
 /run/xen-hotplug -d	gen_context(system_u:object_r:udev_var_run_t,s0)
 ')

[refpolicy] [PATCH] usrmerge

[Chris PeBenito]

On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> The following patch supports making /sbin, /lib*, and /bin symlinks to the
> same named directories under /usr.  This change is accomplished in Debian by
> installing the "usrmerge" package and is apparently the default in Fedora.
>
> These changes have been tested in Debian and found to give the same labelling
> as the policy without this patch in almost all cases.  The exceptions were
> files where the .fc files in question used one of /bin or /usr/bin that didn't
> match what was done in Debian.  The small number of changes to the policy
> caused by this patch FIXED outstanding bugs.
>
> I expect that this won't give any changes to Fedora and it might fix some bugs
> for Gentoo and SUSE.
>
> What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> subs_dist change to make the /usr change not affect policy.

I don't have a problem with merging this patch; however, I will delay it 
at least until after the next release (which is in a few weeks or so). 
I'd also like to hear from Gentoo people on any impacts this may have.


> diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
> --- /home/rjc/src/pol-git/config/file_contexts.subs_dist	2016-12-27 23:12:20.905413820 +1100
> +++ ./config/file_contexts.subs_dist	2017-01-10 18:17:55.371528374 +1100
> @@ -8,10 +8,14 @@
>  # It does not perform substitutions as done by sed(1), for
>  # example, but aliasing.
>  #
> +/bin /usr/bin
> +/lib /usr/lib
> +/lib32 /usr/lib
> +/lib64 /usr/lib
> +/libx32 /usr/libx32
> +/sbin /usr/sbin
>  /etc/init.d /etc/rc.d/init.d
>  /lib/systemd /usr/lib/systemd
> -/lib32 /lib
> -/lib64 /lib
>  /run/lock /var/lock
>  /usr/lib32 /usr/lib
>  /usr/lib64 /usr/lib
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/bootloader.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -8,9 +8,8 @@
>  /etc/yaboot\.conf.*	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
>  /etc/grub.d(/.*)?	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
>
> -/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
>
>  /usr/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
>  /usr/sbin/grub2?-bios-setup	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/consoletype.fc	2017-01-10 18:00:33.225777203 +1100
> @@ -1,4 +1 @@
> -
> -/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
> -
>  /usr/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/dmesg.fc	2017-01-10 17:59:13.147255406 +1100
> @@ -1,4 +1,2 @@
>
> -/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
> -
>  /usr/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/netutils.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -1,8 +1,5 @@
> -/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
> -/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> -/bin/traceroute.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> -
> -/sbin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
> +/usr/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
> +/usr/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
>
>  /usr/bin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
>  /usr/bin/lft		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/su.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/su.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
> +/usr/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
>
>  /usr/(local/)?bin/ksu	--	gen_context(system_u:object_r:su_exec_t,s0)
>  /usr/bin/kdesu		--	gen_context(system_u:object_r:su_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc	2016-07-28 20:33:39.959961616 +1000
> +++ ./policy/modules/admin/usermanage.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,3 @@
> -ifdef(`distro_gentoo',`
> -/bin/passwd		--	gen_context(system_u:object_r:passwd_exec_t,s0)
> -')
> -
>  ifdef(`distro_debian',`
>  /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc	2016-07-30 08:14:41.065649021 +1000
> +++ ./policy/modules/contrib/acct.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/psacct	--	gen_context(system_u:object_r:acct_initrc_exec_t,s0)
>
> -/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
> -
>  /usr/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
>
>  /var/account(/.*)?	gen_context(system_u:object_r:acct_data_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc	2016-08-22 21:43:27.015004974 +1000
> +++ ./policy/modules/contrib/alsa.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -4,14 +4,9 @@
>  /\.config(/.*)?	gen_context(system_u:object_r:alsa_var_lib_t,s0)
>  ')
>
> -/bin/alsaunmute	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -
>  /etc/alsa(/.*)?		gen_context(system_u:object_r:alsa_etc_t,s0)
>  /etc/asound\.conf	gen_context(system_u:object_r:alsa_etc_t,s0)
>
> -/sbin/alsactl	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -/sbin/salsa	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -
>  # Systemd unit files
>  /usr/lib/systemd/system/[^/]*alsa-restore.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*alsa-state.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc	2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/apcupsd.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/apcupsd	--	gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
>
> -/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
> -
>  /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
>
>  /usr/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc	2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/cachefilesd.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
>
> -/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
> -
>  /usr/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
>
>  /var/cache/fscache(/.*)?	gen_context(system_u:object_r:cachefilesd_cache_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc	2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/ccs.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/((ccs)|(ccsd))	--	gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
>
> -/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
> -
>  /usr/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
>
>  /var/lib/cluster/((ccs)|(ccsd)).*	gen_context(system_u:object_r:ccs_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc	2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/cgroup.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -7,10 +7,6 @@
>  /etc/rc\.d/init\.d/cgconfig	--	gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/cgred	--	gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
>
> -/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
> -/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
> -/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
> -
>  /usr/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
>  /usr/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
>  /usr/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc	2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cpucontrol.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,6 +1,4 @@
> -/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
> -
> -/sbin/microcode_ctl	--	gen_context(system_u:object_r:cpucontrol_exec_t,s0)
> +/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
>  /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc	2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cups.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -18,8 +18,6 @@
>
>  /etc/printcap.*	--	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> -/lib/udev/udev-configure-printer	--	gen_context(system_u:object_r:cupsd_config_exec_t,s0)
> -
>  /opt/brother/Printers(.*/)?inf(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>  /opt/gutenprint/ppds(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc	2016-12-27 23:12:23.561486854 +1100
> +++ ./policy/modules/contrib/dbus.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -2,9 +2,7 @@
>
>  /etc/dbus-.*(/.*)?	gen_context(system_u:object_r:dbusd_etc_t,s0)
>
> -/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
> -
> -/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> +/usr/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
>
>  /usr/bin/dbus-daemon(-1)?	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc	2016-12-27 23:12:23.565486964 +1100
> +++ ./policy/modules/contrib/devicekit.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -1,6 +1,3 @@
> -/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -
>  /usr/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
>  /usr/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
>  /usr/lib/udisks/udisks-daemon	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc	2016-07-30 08:14:41.097649866 +1000
> +++ ./policy/modules/contrib/drbd.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
>  /etc/rc\.d/init\.d/drbd	--	gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
>
> -/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> -/sbin/drbdsetup	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> -
>  /usr/lib/ocf/resource.\d/linbit/drbd	--	gen_context(system_u:object_r:drbd_exec_t,s0)
>
>  /usr/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc	2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/iscsi.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,9 +1,5 @@
>  /etc/rc\.d/init\.d/((iscsi)|(iscsid))	--	gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
>
> -/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -
>  /usr/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
>  /usr/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
>  /usr/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc	2016-08-07 19:54:37.787262067 +1000
> +++ ./policy/modules/contrib/kdump.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -2,14 +2,9 @@
>
>  /etc/rc\.d/init\.d/kdump	--	gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
>
> -/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
> -
>  /usr/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
>
>  /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
>
> -/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> -/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> -
>  /usr/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
>  /usr/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc	2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/kudzu.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
>  /etc/rc\.d/init\.d/kudzu	--	gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
>
> -/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
> -/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
> -
>  /usr/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
>  /usr/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc	2017-01-10 17:57:41.780375375 +1100
> +++ ./policy/modules/contrib/loadkeys.fc	2017-01-10 18:00:07.648971992 +1100
> @@ -1,5 +1,2 @@
> -/bin/loadkeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -/bin/unikeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -
>  /usr/bin/loadkeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
>  /usr/bin/unikeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc	2016-07-30 08:14:41.121650499 +1000
> +++ ./policy/modules/contrib/mta.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>  HOME_DIR/Maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
>  HOME_DIR/\.maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
>
> -/bin/mail(x)?	--	gen_context(system_u:object_r:sendmail_exec_t,s0)
> -
>  /etc/aliases	--	gen_context(system_u:object_r:etc_aliases_t,s0)
>  /etc/aliases\.db	--	gen_context(system_u:object_r:etc_aliases_t,s0)
>  /etc/mail(/.*)?	gen_context(system_u:object_r:etc_mail_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc	2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/networkmanager.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -21,9 +21,6 @@
>  /usr/lib/systemd/system/[^/]*NetworkManager.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*wpa_supplicant.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>
> -/sbin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> -/sbin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> -
>  /usr/bin/NetworkManager	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
>  /usr/bin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
>  /usr/bin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc	2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/nis.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>
>  /etc/ypserv\.conf	--	gen_context(system_u:object_r:ypserv_conf_t,s0)
>
> -/sbin/ypbind	--	gen_context(system_u:object_r:ypbind_exec_t,s0)
> -
>  /usr/lib/yp/ypxfr	--	gen_context(system_u:object_r:ypxfr_exec_t,s0)
>
>  /usr/lib/systemd/system/ypbind.*\.service    --      gen_context(system_u:object_r:ypbind_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/nut.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -4,10 +4,6 @@
>  /etc/rc\.d/init\.d/nut-driver	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/nut-server	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>
> -/sbin/upsd	--	gen_context(system_u:object_r:nut_upsd_exec_t,s0)
> -/sbin/upsdrvctl	--	gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
> -/sbin/upsmon	--	gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
> -
>  /usr/lib/cgi-bin/nut/upsimage\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
>  /usr/lib/cgi-bin/nut/upsset\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
>  /usr/lib/cgi-bin/nut/upsstats\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/oddjob.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,5 +1,3 @@
> -/sbin/mkhomedir_helper	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> -
>  /usr/lib/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
>
>  /usr/libexec/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/pcmcia.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,8 +1,5 @@
>  /etc/apm/event\.d/pcmcia	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> -/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
> -/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
> -
>  /usr/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
>  /usr/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/plymouthd.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,7 +1,3 @@
> -/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
> -
> -/sbin/plymouthd	--	gen_context(system_u:object_r:plymouthd_exec_t,s0)
> -
>  /usr/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
>
>  # Systemd unit file
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portmap.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,9 +1,5 @@
>  /etc/rc\.d/init\.d/portmap	--	gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
>
> -/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
> -
>  /usr/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
>  /usr/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
>  /usr/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portreserve.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/portreserve	--	gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
>
> -/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
> -
>  /usr/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
>
>  /run/portreserve(/.*)?	gen_context(system_u:object_r:portreserve_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/ppp.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -9,9 +9,6 @@
>  /etc/ppp/resolv\.conf	--	gen_context(system_u:object_r:pppd_etc_rw_t,s0)
>  /etc/ppp/(auth|ip(v6|x)?)-(up|down)	--	gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
>
> -/sbin/ppp-watch	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> -/sbin/pppoe-server	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> -
>  /usr/lib/systemd/system/ppp.*\.service      --      gen_context(system_u:object_r:pppd_unit_t,s0)
>
>  /usr/sbin/ipppd	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/prelude.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -4,8 +4,6 @@
>  /etc/rc\.d/init\.d/prelude-lml	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/prelude-manager	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>
> -/sbin/audisp-prelude	--	gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
> -
>  /usr/bin/prelude-correlator	--	gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
>  /usr/bin/prelude-lml	--	gen_context(system_u:object_r:prelude_lml_exec_t,s0)
>  /usr/bin/prelude-manager	--	gen_context(system_u:object_r:prelude_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/quota.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -10,9 +10,6 @@
>
>  /etc/rc\.d/init\.d/quota_nld	--	gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
>
> -/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
> -/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
> -
>  /usr/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
>  /usr/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
>  /usr/sbin/quota_nld	--	gen_context(system_u:object_r:quota_nld_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/raid.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -3,14 +3,6 @@
>
>  /etc/rc\.d/init\.d/mdmonitor	--	gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
>
> -/sbin/iprdump	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprinit	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprupdate	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdadm	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmon	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmpd	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/raid-check	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -
>  # Systemd unit files
>  /usr/lib/systemd/system/[^/]*mdadm-.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*mdmon.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc	2016-07-30 08:14:41.141651028 +1000
> +++ ./policy/modules/contrib/rdisc.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -1,3 +1 @@
> -/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
> -
>  /usr/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/readahead.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -1,5 +1,3 @@
> -/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
> -
>  /usr/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
>
>  /var/lib/readahead(/.*)?	gen_context(system_u:object_r:readahead_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/resmgr.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/resmgr	--	gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
>
> -/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
> -
>  /usr/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
>
>  /run/\.resmgr_socket	-s	gen_context(system_u:object_r:resmgrd_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpcbind.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/rpcbind	--	gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
>
> -/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
> -
>  /usr/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
>
>  /var/cache/rpcbind(/.*)?	gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpc.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -4,9 +4,6 @@
>  /etc/rc\.d/init\.d/nfslock	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/rpcidmapd	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>
> -/sbin/rpc\..*	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
> -/sbin/sm-notify	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
> -
>  /usr/lib/systemd/system/nfs.*\.service --   gen_context(system_u:object_r:nfsd_unit_t,s0)
>  /usr/lib/systemd/system/rpc.*\.service --   gen_context(system_u:object_r:rpcd_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc	2016-12-31 21:09:27.285585236 +1100
> +++ ./policy/modules/contrib/rpm.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,8 +1,6 @@
> -/bin/rpm	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> -
>  /etc/rc\.d/init\.d/bcfg2	--	gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
>
> -/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> +/usr/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
>
>  /usr/bin/debuginfo-install	--	gen_context(system_u:object_r:debuginfo_exec_t,s0)
>  /usr/bin/fedora-rmdevelrpms	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc	2016-07-30 08:14:41.149651239 +1000
> +++ ./policy/modules/contrib/shorewall.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -3,9 +3,6 @@
>  /etc/shorewall(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
>  /etc/shorewall-lite(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
>
> -/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
> -/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
> -
>  /usr/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
>  /usr/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/shutdown.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,9 +1,5 @@
>  /etc/nologin	--	gen_context(system_u:object_r:shutdown_etc_t,s0)
>
> -/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> -/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
>  /usr/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
>
>  /usr/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc	2016-07-30 08:14:41.157651450 +1000
> +++ ./policy/modules/contrib/usbmodules.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,3 +1 @@
> -/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
> -
>  /usr/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc	2016-12-27 23:12:23.621488504 +1100
> +++ ./policy/modules/contrib/vpn.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,5 +1,3 @@
> -/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
> -
>  /usr/bin/openconnect	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
>
>  /usr/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc	2016-07-30 08:14:41.165651661 +1000
> +++ ./policy/modules/contrib/zosremote.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,3 +1 @@
> -/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
> -
>  /usr/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/corecommands.fc	2017-01-10 18:02:00.404520096 +1100
> @@ -1,19 +1,17 @@
>  #
>  # /bin
>  #
> -/bin				-d	gen_context(system_u:object_r:bin_t,s0)
> -/bin/.*					gen_context(system_u:object_r:bin_t,s0)
> -/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/fish			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mountpoint			--	gen_context(system_u:object_r:bin_t,s0)
> -/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/tcsh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin				gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/.*				gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mountpoint		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  #
>  # /dev
> @@ -131,30 +129,30 @@
>  # /lib
>  #
>
> -/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>
>  ifdef(`distro_gentoo',`
> -/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
>
> -/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
>  ')
>
>  #
>  # /sbin
>  #
> -/sbin				-d	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
> -/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/sbin				gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  #
>  # /opt
> @@ -181,7 +179,7 @@
>  # /usr
>  #
>  /usr/(.*/)?Bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/usr/(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin(/.*)?				gen_context(system_u:object_r:bin_t,s0)
>  /usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> @@ -196,10 +194,10 @@
>  /usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
> -/usr/lib(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?bin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>
>  /usr/(.*/)?sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/usr/lib(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>
>  /usr/lib/at-spi2-core(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/lib/avahi/avahi-daemon-check-dns\.sh	--	gen_context(system_u:object_r:bin_t,s0)
> @@ -284,14 +282,14 @@
>  /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>  /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/lib/xen/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -
>  /usr/libexec(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/libexec/git-core/git-shell	--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/libexec/sesh		--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  /usr/libexec/openssh/sftp-server --	gen_context(system_u:object_r:bin_t,s0)
>
> +/usr/local/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Brother(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Printer(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/linuxprinter/filters(/.*)?	gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc	2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/corenetwork.fc	2017-01-10 18:02:39.949763456 +1100
> @@ -5,8 +5,5 @@
>
>  /dev/net/.*		-c	gen_context(system_u:object_r:tun_tap_device_t,s0)
>
> -/lib/udev/devices/ppp	-c	gen_context(system_u:object_r:ppp_device_t,s0)
> -/lib/udev/devices/net/.* -c	gen_context(system_u:object_r:tun_tap_device_t,s0)
> -
>  /usr/lib/udev/devices/ppp -c	gen_context(system_u:object_r:ppp_device_t,s0)
>  /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/devices.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -194,10 +194,10 @@
>  /etc/udev/devices	-d	gen_context(system_u:object_r:device_t,s0)
>
>  # used by init scripts to initally populate udev /dev
> -/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
> -/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> -/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
> -/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
> +/usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
> +/usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> +/usr/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
> +/usr/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
>
>  /usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
>  /usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/files.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/files.fc	2017-01-10 18:03:25.659199980 +1100
> @@ -106,12 +106,12 @@
>  #
>  # /lib(64)?
>  #
> -/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
> +/usr/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
>
>  ifdef(`distro_debian',`
>  # on Debian /lib/init/rw is a tmpfs used like /var/run but
>  # before /var is mounted
> -/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> +/usr/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
>  ')
>
>  #
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/filesystem.fc	2017-01-10 17:58:35.150058035 +1100
> @@ -6,10 +6,10 @@
>  /dev/shm		-d	gen_context(system_u:object_r:tmpfs_t,s0)
>  /dev/shm/.*			<<none>>
>
> -/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
> -/lib/udev/devices/hugepages/.*	<<none>>
> -/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
> -/lib/udev/devices/shm/.*	<<none>>
> +/usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
> +/usr/lib/udev/devices/hugepages/.*	<<none>>
> +/usr/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
> +/usr/lib/udev/devices/shm/.*	<<none>>
>
>  /usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
>  /usr/lib/udev/devices/hugepages/.*	<<none>>
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc	2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/kernel/storage.fc	2017-01-10 18:04:16.428794725 +1100
> @@ -83,8 +83,5 @@
>
>  /dev/usb/rio500		-c	gen_context(system_u:object_r:removable_device_t,s0)
>
> -/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> -/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
> -
>  /usr/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
>  /usr/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc	2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/terminal.fc	2017-01-10 17:58:35.762077323 +1100
> @@ -41,5 +41,5 @@
>  /dev/tts/[0-9]+		-c	gen_context(system_u:object_r:tty_device_t,s0)
>
>  # used by init scripts to initally populate udev /dev
> -/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
> +/usr/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc	2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/system/authlogin.fc	2017-01-10 18:07:41.183333055 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
> +/usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
>
>  /etc/\.pwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
>  /etc/group\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
> @@ -7,13 +7,10 @@
>  /etc/passwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
>  /etc/shadow.*		--	gen_context(system_u:object_r:shadow_t,s0)
>
> -/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
> -/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
> -/sbin/unix_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> -/sbin/unix_update	--	gen_context(system_u:object_r:updpwd_exec_t,s0)
> -/sbin/unix_verify	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
> +/usr/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
>  ifdef(`distro_suse', `
> -/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
>  ')
>
>  /usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
> --- /home/rjc/src/pol-git/policy/modules/system/clock.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/clock.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,6 +1,6 @@
>
>  /etc/adjtime		--	gen_context(system_u:object_r:adjtime_t,s0)
>
> -/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
> +/usr/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
>
>  /usr/sbin/hwclock	--	gen_context(system_u:object_r:hwclock_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
> --- /home/rjc/src/pol-git/policy/modules/system/fstools.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/fstools.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,47 +1,42 @@
> -/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fsck.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkfs.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/parted		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partprobe		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partx		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
>
>  /usr/bin/partition_uuid	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
>  /usr/bin/raw		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
> --- /home/rjc/src/pol-git/policy/modules/system/getty.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/getty.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,7 +1,7 @@
>
>  /etc/mgetty(/.*)?		gen_context(system_u:object_r:getty_etc_t,s0)
>
> -/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
> +/usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
>
>  /usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hostname.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hostname.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,4 +1,4 @@
>
> -/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
> +/usr/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
>
>  /usr/bin/hostname	--	gen_context(system_u:object_r:hostname_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hotplug.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -7,8 +7,8 @@
>  /run/usb(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
>  /run/hotplug(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
>
> -/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> -/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
>
>  /usr/sbin/hotplug	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
>  /usr/sbin/netplugd	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
> --- /home/rjc/src/pol-git/policy/modules/system/init.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/init.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -22,21 +22,17 @@
>  #
>  # /lib
>  #
> -/lib/systemd/systemd	--	gen_context(system_u:object_r:init_exec_t,s0)
>
>  ifdef(`distro_gentoo', `
> -/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
> +/usr/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
>  ')
>
>  #
>  # /sbin
>  #
> -/sbin/init(ng)?		--	gen_context(system_u:object_r:init_exec_t,s0)
> -# because nowadays, /sbin/init is often a symlink to /sbin/upstart
> -/sbin/upstart		--	gen_context(system_u:object_r:init_exec_t,s0)
>
>  ifdef(`distro_gentoo', `
> -/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
> +/usr/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
>  ')
>
>  #
> diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
> --- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc	2016-12-27 23:12:20.925414371 +1100
> +++ ./policy/modules/system/ipsec.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -18,8 +18,6 @@
>  /etc/swanctl			-d	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>  /etc/swanctl/swanctl.conf	--	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>
> -/sbin/setkey			--	gen_context(system_u:object_r:setkey_exec_t,s0)
> -
>  /usr/lib/ipsec/_plutoload	-- 	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
>  /usr/lib/ipsec/_plutorun	--	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
>  /usr/lib/ipsec/eroute		--	gen_context(system_u:object_r:ipsec_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
> --- /home/rjc/src/pol-git/policy/modules/system/iptables.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/iptables.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -4,18 +4,16 @@
>  /etc/sysconfig/ip6?tables.*	--	gen_context(system_u:object_r:iptables_conf_t,s0)
>  /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
>
> -/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipchains.*		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipset			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
>
>  /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*ebtables.*	 -- gen_context(system_u:object_r:iptables_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
> --- /home/rjc/src/pol-git/policy/modules/system/libraries.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/libraries.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -35,12 +35,13 @@
>  #
>  # /lib(64)?
>  #
> -/lib					-d	gen_context(system_u:object_r:lib_t,s0)
> -/lib					-l	gen_context(system_u:object_r:lib_t,s0)
> -/lib/.*						gen_context(system_u:object_r:lib_t,s0)
> -/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/.*					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64/.*					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
>
> -/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
> +/usr/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
>
>  #
>  # /opt
> @@ -93,7 +94,7 @@
>  #
>  # /sbin
>  #
> -/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
> +/usr/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
>
>  #
>  # /usr
> @@ -108,7 +109,7 @@
>  /usr/(.*/)?lib(/.*)?				gen_context(system_u:object_r:lib_t,s0)
>  /usr/(.*/)?lib64(/.*)?				gen_context(system_u:object_r:lib_t,s0)
>
> -/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
>
>  /usr/(.*/)?nvidia/.+\.so(\..*)?		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> @@ -166,10 +167,6 @@
>  /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>  /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> -ifdef(`distro_debian',`
> -/usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
> -')
> -
>  ifdef(`distro_gentoo',`
>  /usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/locallogin.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -1,6 +1,6 @@
>
> -/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> -/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
>
>  /usr/sbin/sulogin	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
>  /usr/sbin/sushell	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
> --- /home/rjc/src/pol-git/policy/modules/system/logging.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/logging.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -6,17 +6,6 @@
>  /etc/rc\.d/init\.d/auditd --	gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/rsyslog --	gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
>
> -/sbin/audispd		--	gen_context(system_u:object_r:audisp_exec_t,s0)
> -/sbin/audisp-remote	--	gen_context(system_u:object_r:audisp_remote_exec_t,s0)
> -/sbin/auditctl		--	gen_context(system_u:object_r:auditctl_exec_t,s0)
> -/sbin/auditd		--	gen_context(system_u:object_r:auditd_exec_t,s0)
> -/sbin/klogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/minilogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/rklogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/rsyslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslog-ng		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -
>  /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
>  /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
> --- /home/rjc/src/pol-git/policy/modules/system/lvm.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/lvm.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -7,7 +7,7 @@
>  # /bin
>  #
>  ifdef(`distro_gentoo',`
> -/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
>  ')
>
>  #
> @@ -26,65 +26,64 @@
>  #
>  # /lib
>  #
> -/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
>
>  #
>  # /sbin
>  #
> -/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
>
>  #
>  # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
> --- /home/rjc/src/pol-git/policy/modules/system/modutils.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/modutils.fc	2017-01-10 18:09:53.291691208 +1100
> @@ -1,5 +1,3 @@
> -/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -
>  /etc/modules\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  /etc/modprobe\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  /etc/modprobe\.d(/.*)?		gen_context(system_u:object_r:modules_conf_t,s0)
> @@ -10,20 +8,8 @@
>  /etc/modprobe.devfs.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  ')
>
> -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> -
> -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
> -
>  /run/tmpfiles.d(/.*)?	gen_context(system_u:object_r:kmod_var_run_t,s0)
>
> -/sbin/depmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/insmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modprobe.*	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modules-update	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/rmmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/update-modules	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -
>  /usr/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
>
>  /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
> --- /home/rjc/src/pol-git/policy/modules/system/mount.fc	2017-01-10 17:57:39.244295392 +1100
> +++ ./policy/modules/system/mount.fc	2017-01-10 18:10:39.753222015 +1100
> @@ -1,11 +1,3 @@
> -/bin/fusermount			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/mount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/umount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -
> -/sbin/mount\.zfs		--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zfs			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zpool			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -
>  /usr/bin/fusermount		--	gen_context(system_u:object_r:mount_exec_t,s0)
>  /usr/bin/mount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
>  /usr/bin/umount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
> --- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/netlabel.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -1,3 +1,3 @@
> -/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> +/usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
>
>  /usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
> --- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/selinuxutil.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -22,9 +22,7 @@
>  #
>  # /sbin
>  #
> -/sbin/load_policy		--	gen_context(system_u:object_r:load_policy_exec_t,s0)
> -/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
> -/sbin/setfiles.*		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
> +/usr/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
>
>  #
>  # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
> --- /home/rjc/src/pol-git/policy/modules/system/setrans.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/setrans.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -2,7 +2,7 @@
>
>  /run/setrans(/.*)?		gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
>
> -/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
> +/usr/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
>
>  /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/sysnetwork.fc	2017-01-10 18:16:40.301068723 +1100
> @@ -1,11 +1,5 @@
>
>  #
> -# /bin
> -#
> -/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/bin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
>  # /dev
>  #
>  ifdef(`distro_debian',`
> @@ -37,24 +31,6 @@
>  ')
>
>  #
> -# /sbin
> -#
> -/sbin/dhclient.*	--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcdbd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcpcd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/ethtool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ip		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_configure	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_interface	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_internal_net	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iw		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iwconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/mii-tool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/pump		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/tc		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
>  # /usr
>  #
>  /usr/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
> --- /home/rjc/src/pol-git/policy/modules/system/systemd.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/systemd.fc	2017-01-10 18:18:57.213552868 +1100
> @@ -1,13 +1,3 @@
> -/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> -/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> -/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> -/bin/systemd-detect-virt	--	gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
> -/bin/systemd-nspawn			--	gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
> -/bin/systemd-run			--	gen_context(system_u:object_r:systemd_run_exec_t,s0)
> -/bin/systemd-stdio-bridge	--	gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
> -/bin/systemd-tmpfiles		--	gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
> -/bin/systemd-tty-ask-password-agent		--			gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
> -
>  /usr/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
>  /usr/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
>  /usr/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
> --- /home/rjc/src/pol-git/policy/modules/system/udev.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/udev.fc	2017-01-10 18:20:03.463719957 +1100
> @@ -9,22 +9,22 @@
>  /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
>  /etc/udev/scripts/.+ --	gen_context(system_u:object_r:udev_helper_exec_t,s0)
>
> -/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
>
>  ifdef(`distro_debian',`
> -/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
>  ')
>
> -/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
>
>  ifdef(`distro_redhat',`
> -/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
>  ')
>
>  /usr/bin/udevinfo --	gen_context(system_u:object_r:udev_exec_t,s0)
> @@ -44,6 +44,5 @@
>  /run/udev(/.*)?	gen_context(system_u:object_r:udev_var_run_t,s0)
>
>  ifdef(`distro_debian',`
> -/lib/systemd/systemd-udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
>  /run/xen-hotplug -d	gen_context(system_u:object_r:udev_var_run_t,s0)
>  ')



-- 
Chris PeBenito

[refpolicy] [PATCH] usrmerge

[Jason Zaman]

[[ I originally didnt remove the patch so the email was too long and the
list bounced it, resending ]]

On Sun, Jan 15, 2017 at 01:02:25PM -0500, Chris PeBenito wrote:
> On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> > The following patch supports making /sbin, /lib*, and /bin symlinks to the
> > same named directories under /usr.  This change is accomplished in Debian by
> > installing the "usrmerge" package and is apparently the default in Fedora.
> >
> > These changes have been tested in Debian and found to give the same labelling
> > as the policy without this patch in almost all cases.  The exceptions were
> > files where the .fc files in question used one of /bin or /usr/bin that didn't
> > match what was done in Debian.  The small number of changes to the policy
> > caused by this patch FIXED outstanding bugs.
> >
> > I expect that this won't give any changes to Fedora and it might fix some bugs
> > for Gentoo and SUSE.
> >
> > What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> > subs_dist change to make the /usr change not affect policy.
> 
> I don't have a problem with merging this patch; however, I will delay it 
> at least until after the next release (which is in a few weeks or so). 
> I'd also like to hear from Gentoo people on any impacts this may have.

Sorry its taken so long, I've been busy lately. I will test it on my
machine soon and get back to you hopefully on the weekend so I get some
testing in.

Also Nicolas Iooss did some work recently and has a script that goes
through to verify that everything in /bin has an equivalent in /usr/bin.

going this subs_dist route would make the fcontexts smaller tho which is
a plus and less confusion. I just need to be a bit extra careful since
gentoo is rolling but I dont forsee any issues.

-- Jason

[refpolicy] [PATCH] usrmerge

[Russell Coker]

On Thursday, 26 January 2017 3:41:48 PM AEDT Jason Zaman wrote:
> > > These changes have been tested in Debian and found to give the same
> > > labelling as the policy without this patch in almost all cases.  The
> > > exceptions were files where the .fc files in question used one of /bin
> > > or /usr/bin that didn't match what was done in Debian.  The small
> > > number of changes to the policy caused by this patch FIXED outstanding
> > > bugs.
> > > 
> > > I expect that this won't give any changes to Fedora and it might fix
> > > some bugs for Gentoo and SUSE.
> > > 
> > > What it does is remove all duplicates in /bin and /usr/bin etc and uses
> > > a
> > > subs_dist change to make the /usr change not affect policy.
> > 
> > I don't have a problem with merging this patch; however, I will delay it 
> > at least until after the next release (which is in a few weeks or so). 
> > I'd also like to hear from Gentoo people on any impacts this may have.
> 
> Sorry its taken so long, I've been busy lately. I will test it on my
> machine soon and get back to you hopefully on the weekend so I get some
> testing in.

It's ok.
 
> Also Nicolas Iooss did some work recently and has a script that goes
> through to verify that everything in /bin has an equivalent in /usr/bin.
>
> going this subs_dist route would make the fcontexts smaller tho which is
> a plus and less confusion. I just need to be a bit extra careful since
> gentoo is rolling but I dont forsee any issues.

I'd rather have subs_dist than have to run a script against the policy to 
verify it.

I've attached a tiny patch with changes I made after sending the first 
usrmerge patch.

-- 
My Main Blog         http://etbe.coker.com.au/
My Documents Blog    http://doc.coker.com.au/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: 0170-usrmerge2
Type: text/x-patch
Size: 3330 bytes
Desc: not available
Url : http://oss.tresys.com/pipermail/refpolicy/attachments/20170126/b091b36f/attachment.bin 

[refpolicy] [PATCH] usrmerge

[Chris PeBenito]

On 01/10/17 02:30, Russell Coker via refpolicy wrote:
> The following patch supports making /sbin, /lib*, and /bin symlinks to the
> same named directories under /usr.  This change is accomplished in Debian by
> installing the "usrmerge" package and is apparently the default in Fedora.
>
> These changes have been tested in Debian and found to give the same labelling
> as the policy without this patch in almost all cases.  The exceptions were
> files where the .fc files in question used one of /bin or /usr/bin that didn't
> match what was done in Debian.  The small number of changes to the policy
> caused by this patch FIXED outstanding bugs.
>
> I expect that this won't give any changes to Fedora and it might fix some bugs
> for Gentoo and SUSE.
>
> What it does is remove all duplicates in /bin and /usr/bin etc and uses a
> subs_dist change to make the /usr change not affect policy.

I've merged this, but moved lines to their proper places.  I found more 
duplicates to remove.  I also found some modules_object_t lines that 
have incorrectly been in the files module for a long time.


> diff -ru /home/rjc/src/pol-git/config/file_contexts.subs_dist ./config/file_contexts.subs_dist
> --- /home/rjc/src/pol-git/config/file_contexts.subs_dist	2016-12-27 23:12:20.905413820 +1100
> +++ ./config/file_contexts.subs_dist	2017-01-10 18:17:55.371528374 +1100
> @@ -8,10 +8,14 @@
>  # It does not perform substitutions as done by sed(1), for
>  # example, but aliasing.
>  #
> +/bin /usr/bin
> +/lib /usr/lib
> +/lib32 /usr/lib
> +/lib64 /usr/lib
> +/libx32 /usr/libx32
> +/sbin /usr/sbin
>  /etc/init.d /etc/rc.d/init.d
>  /lib/systemd /usr/lib/systemd
> -/lib32 /lib
> -/lib64 /lib
>  /run/lock /var/lock
>  /usr/lib32 /usr/lib
>  /usr/lib64 /usr/lib
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc ./policy/modules/admin/bootloader.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/bootloader.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/bootloader.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -8,9 +8,8 @@
>  /etc/yaboot\.conf.*	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
>  /etc/grub.d(/.*)?	--	gen_context(system_u:object_r:bootloader_etc_t,s0)
>
> -/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> -/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/lilo.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> +/usr/sbin/ybin.*		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
>
>  /usr/sbin/grub		--	gen_context(system_u:object_r:bootloader_exec_t,s0)
>  /usr/sbin/grub2?-bios-setup	--	gen_context(system_u:object_r:bootloader_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc ./policy/modules/admin/consoletype.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/consoletype.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/consoletype.fc	2017-01-10 18:00:33.225777203 +1100
> @@ -1,4 +1 @@
> -
> -/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
> -
>  /usr/sbin/consoletype	--	gen_context(system_u:object_r:consoletype_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc ./policy/modules/admin/dmesg.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/dmesg.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/dmesg.fc	2017-01-10 17:59:13.147255406 +1100
> @@ -1,4 +1,2 @@
>
> -/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
> -
>  /usr/bin/dmesg		--		gen_context(system_u:object_r:dmesg_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/netutils.fc ./policy/modules/admin/netutils.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/netutils.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/netutils.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -1,8 +1,5 @@
> -/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
> -/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> -/bin/traceroute.*	--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> -
> -/sbin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
> +/usr/bin/ping.* 		--	gen_context(system_u:object_r:ping_exec_t,s0)
> +/usr/bin/tracepath.*		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
>
>  /usr/bin/arping		--	gen_context(system_u:object_r:netutils_exec_t,s0)
>  /usr/bin/lft		--	gen_context(system_u:object_r:traceroute_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/su.fc ./policy/modules/admin/su.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/su.fc	2016-12-31 21:09:24.669504632 +1100
> +++ ./policy/modules/admin/su.fc	2017-01-10 17:58:32.497974441 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
> +/usr/bin/su			--	gen_context(system_u:object_r:su_exec_t,s0)
>
>  /usr/(local/)?bin/ksu	--	gen_context(system_u:object_r:su_exec_t,s0)
>  /usr/bin/kdesu		--	gen_context(system_u:object_r:su_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc ./policy/modules/admin/usermanage.fc
> --- /home/rjc/src/pol-git/policy/modules/admin/usermanage.fc	2016-07-28 20:33:39.959961616 +1000
> +++ ./policy/modules/admin/usermanage.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,3 @@
> -ifdef(`distro_gentoo',`
> -/bin/passwd		--	gen_context(system_u:object_r:passwd_exec_t,s0)
> -')
> -
>  ifdef(`distro_debian',`
>  /etc/cron\.daily/cracklib-runtime -- gen_context(system_u:object_r:crack_exec_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/acct.fc ./policy/modules/contrib/acct.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/acct.fc	2016-07-30 08:14:41.065649021 +1000
> +++ ./policy/modules/contrib/acct.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/psacct	--	gen_context(system_u:object_r:acct_initrc_exec_t,s0)
>
> -/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
> -
>  /usr/sbin/accton	--	gen_context(system_u:object_r:acct_exec_t,s0)
>
>  /var/account(/.*)?	gen_context(system_u:object_r:acct_data_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc ./policy/modules/contrib/alsa.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/alsa.fc	2016-08-22 21:43:27.015004974 +1000
> +++ ./policy/modules/contrib/alsa.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -4,14 +4,9 @@
>  /\.config(/.*)?	gen_context(system_u:object_r:alsa_var_lib_t,s0)
>  ')
>
> -/bin/alsaunmute	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -
>  /etc/alsa(/.*)?		gen_context(system_u:object_r:alsa_etc_t,s0)
>  /etc/asound\.conf	gen_context(system_u:object_r:alsa_etc_t,s0)
>
> -/sbin/alsactl	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -/sbin/salsa	--	gen_context(system_u:object_r:alsa_exec_t,s0)
> -
>  # Systemd unit files
>  /usr/lib/systemd/system/[^/]*alsa-restore.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*alsa-state.* --	gen_context(system_u:object_r:alsa_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc ./policy/modules/contrib/apcupsd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/apcupsd.fc	2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/apcupsd.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/apcupsd	--	gen_context(system_u:object_r:apcupsd_initrc_exec_t,s0)
>
> -/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
> -
>  /usr/lib/systemd/system/apcupsd.*\.service -- gen_context(system_u:object_r:apcupsd_unit_t,s0)
>
>  /usr/sbin/apcupsd	--	gen_context(system_u:object_r:apcupsd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc ./policy/modules/contrib/cachefilesd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cachefilesd.fc	2016-12-27 23:12:23.553486634 +1100
> +++ ./policy/modules/contrib/cachefilesd.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_initrc_exec_t,s0)
>
> -/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
> -
>  /usr/sbin/cachefilesd	--	gen_context(system_u:object_r:cachefilesd_exec_t,s0)
>
>  /var/cache/fscache(/.*)?	gen_context(system_u:object_r:cachefilesd_cache_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc ./policy/modules/contrib/ccs.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ccs.fc	2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/ccs.fc	2017-01-10 17:58:34.106025127 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/((ccs)|(ccsd))	--	gen_context(system_u:object_r:ccs_initrc_exec_t,s0)
>
> -/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
> -
>  /usr/sbin/ccsd	--	gen_context(system_u:object_r:ccs_exec_t,s0)
>
>  /var/lib/cluster/((ccs)|(ccsd)).*	gen_context(system_u:object_r:ccs_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc ./policy/modules/contrib/cgroup.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cgroup.fc	2016-12-27 23:12:23.557486744 +1100
> +++ ./policy/modules/contrib/cgroup.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -7,10 +7,6 @@
>  /etc/rc\.d/init\.d/cgconfig	--	gen_context(system_u:object_r:cgconfig_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/cgred	--	gen_context(system_u:object_r:cgred_initrc_exec_t,s0)
>
> -/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
> -/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
> -/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
> -
>  /usr/sbin/cgconfigparser	--	gen_context(system_u:object_r:cgconfig_exec_t,s0)
>  /usr/sbin/cgrulesengd	--	gen_context(system_u:object_r:cgred_exec_t,s0)
>  /usr/sbin/cgclear	--	gen_context(system_u:object_r:cgclear_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc ./policy/modules/contrib/cpucontrol.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cpucontrol.fc	2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cpucontrol.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,6 +1,4 @@
> -/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
> -
> -/sbin/microcode_ctl	--	gen_context(system_u:object_r:cpucontrol_exec_t,s0)
> +/usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
>  /usr/lib/firmware/microcode.*\.dat -- gen_context(system_u:object_r:cpucontrol_conf_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/cups.fc ./policy/modules/contrib/cups.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/cups.fc	2016-12-31 21:09:27.281585112 +1100
> +++ ./policy/modules/contrib/cups.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -18,8 +18,6 @@
>
>  /etc/printcap.*	--	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> -/lib/udev/udev-configure-printer	--	gen_context(system_u:object_r:cupsd_config_exec_t,s0)
> -
>  /opt/brother/Printers(.*/)?inf(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>  /opt/gutenprint/ppds(/.*)?	gen_context(system_u:object_r:cupsd_rw_etc_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc ./policy/modules/contrib/dbus.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/dbus.fc	2016-12-27 23:12:23.561486854 +1100
> +++ ./policy/modules/contrib/dbus.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -2,9 +2,7 @@
>
>  /etc/dbus-.*(/.*)?	gen_context(system_u:object_r:dbusd_etc_t,s0)
>
> -/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
> -
> -/lib/dbus-.*/dbus-daemon-launch-helper -- gen_context(system_u:object_r:dbusd_exec_t,s0)
> +/usr/bin/dbus-daemon	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
>
>  /usr/bin/dbus-daemon(-1)?	--	gen_context(system_u:object_r:dbusd_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc ./policy/modules/contrib/devicekit.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/devicekit.fc	2016-12-27 23:12:23.565486964 +1100
> +++ ./policy/modules/contrib/devicekit.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -1,6 +1,3 @@
> -/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> -
>  /usr/lib/udev/udisks-part-id	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
>  /usr/lib/udisks2/udisksd	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
>  /usr/lib/udisks/udisks-daemon	--	gen_context(system_u:object_r:devicekit_disk_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc ./policy/modules/contrib/drbd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/drbd.fc	2016-07-30 08:14:41.097649866 +1000
> +++ ./policy/modules/contrib/drbd.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
>  /etc/rc\.d/init\.d/drbd	--	gen_context(system_u:object_r:drbd_initrc_exec_t,s0)
>
> -/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> -/sbin/drbdsetup	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> -
>  /usr/lib/ocf/resource.\d/linbit/drbd	--	gen_context(system_u:object_r:drbd_exec_t,s0)
>
>  /usr/sbin/drbdadm	--	gen_context(system_u:object_r:drbd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc ./policy/modules/contrib/iscsi.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/iscsi.fc	2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/iscsi.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,9 +1,5 @@
>  /etc/rc\.d/init\.d/((iscsi)|(iscsid))	--	gen_context(system_u:object_r:iscsi_initrc_exec_t,s0)
>
> -/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> -
>  /usr/sbin/iscsid	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
>  /usr/sbin/brcm_iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
>  /usr/sbin/iscsiuio	--	gen_context(system_u:object_r:iscsid_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc ./policy/modules/contrib/kdump.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kdump.fc	2016-08-07 19:54:37.787262067 +1000
> +++ ./policy/modules/contrib/kdump.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -2,14 +2,9 @@
>
>  /etc/rc\.d/init\.d/kdump	--	gen_context(system_u:object_r:kdump_initrc_exec_t,s0)
>
> -/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
> -
>  /usr/bin/kdumpctl	--	gen_context(system_u:object_r:kdumpctl_exec_t,s0)
>
>  /usr/lib/systemd/system/kdump.*\.service -- gen_context(system_u:object_r:kdump_unit_t,s0)
>
> -/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> -/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> -
>  /usr/sbin/kdump	--	gen_context(system_u:object_r:kdump_exec_t,s0)
>  /usr/sbin/kexec	--	gen_context(system_u:object_r:kdump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc ./policy/modules/contrib/kudzu.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/kudzu.fc	2016-12-27 23:12:23.577487294 +1100
> +++ ./policy/modules/contrib/kudzu.fc	2017-01-10 17:58:34.110025253 +1100
> @@ -1,8 +1,5 @@
>  /etc/rc\.d/init\.d/kudzu	--	gen_context(system_u:object_r:kudzu_initrc_exec_t,s0)
>
> -/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
> -/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
> -
>  /usr/sbin/kmodule	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
>  /usr/sbin/kudzu	--	gen_context(system_u:object_r:kudzu_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc ./policy/modules/contrib/loadkeys.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/loadkeys.fc	2017-01-10 17:57:41.780375375 +1100
> +++ ./policy/modules/contrib/loadkeys.fc	2017-01-10 18:00:07.648971992 +1100
> @@ -1,5 +1,2 @@
> -/bin/loadkeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -/bin/unikeys		--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> -
>  /usr/bin/loadkeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
>  /usr/bin/unikeys	--	gen_context(system_u:object_r:loadkeys_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/mta.fc ./policy/modules/contrib/mta.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/mta.fc	2016-07-30 08:14:41.121650499 +1000
> +++ ./policy/modules/contrib/mta.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>  HOME_DIR/Maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
>  HOME_DIR/\.maildir(/.*)?	gen_context(system_u:object_r:mail_home_rw_t,s0)
>
> -/bin/mail(x)?	--	gen_context(system_u:object_r:sendmail_exec_t,s0)
> -
>  /etc/aliases	--	gen_context(system_u:object_r:etc_aliases_t,s0)
>  /etc/aliases\.db	--	gen_context(system_u:object_r:etc_aliases_t,s0)
>  /etc/mail(/.*)?	gen_context(system_u:object_r:etc_mail_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc ./policy/modules/contrib/networkmanager.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/networkmanager.fc	2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/networkmanager.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -21,9 +21,6 @@
>  /usr/lib/systemd/system/[^/]*NetworkManager.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*wpa_supplicant.*	--	gen_context(system_u:object_r:NetworkManager_unit_t,s0)
>
> -/sbin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
> -/sbin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> -
>  /usr/bin/NetworkManager	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
>  /usr/bin/wpa_cli	--	gen_context(system_u:object_r:wpa_cli_exec_t,s0)
>  /usr/bin/wpa_supplicant	--	gen_context(system_u:object_r:NetworkManager_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nis.fc ./policy/modules/contrib/nis.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nis.fc	2016-12-27 23:12:23.597487844 +1100
> +++ ./policy/modules/contrib/nis.fc	2017-01-10 17:58:35.118057026 +1100
> @@ -5,8 +5,6 @@
>
>  /etc/ypserv\.conf	--	gen_context(system_u:object_r:ypserv_conf_t,s0)
>
> -/sbin/ypbind	--	gen_context(system_u:object_r:ypbind_exec_t,s0)
> -
>  /usr/lib/yp/ypxfr	--	gen_context(system_u:object_r:ypxfr_exec_t,s0)
>
>  /usr/lib/systemd/system/ypbind.*\.service    --      gen_context(system_u:object_r:ypbind_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/nut.fc ./policy/modules/contrib/nut.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/nut.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/nut.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -4,10 +4,6 @@
>  /etc/rc\.d/init\.d/nut-driver	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/nut-server	--	gen_context(system_u:object_r:nut_initrc_exec_t,s0)
>
> -/sbin/upsd	--	gen_context(system_u:object_r:nut_upsd_exec_t,s0)
> -/sbin/upsdrvctl	--	gen_context(system_u:object_r:nut_upsdrvctl_exec_t,s0)
> -/sbin/upsmon	--	gen_context(system_u:object_r:nut_upsmon_exec_t,s0)
> -
>  /usr/lib/cgi-bin/nut/upsimage\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
>  /usr/lib/cgi-bin/nut/upsset\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
>  /usr/lib/cgi-bin/nut/upsstats\.cgi	--	gen_context(system_u:object_r:httpd_nutups_cgi_script_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc ./policy/modules/contrib/oddjob.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/oddjob.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/oddjob.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,5 +1,3 @@
> -/sbin/mkhomedir_helper	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> -
>  /usr/lib/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
>
>  /usr/libexec/oddjob/mkhomedir	--	gen_context(system_u:object_r:oddjob_mkhomedir_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc ./policy/modules/contrib/pcmcia.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/pcmcia.fc	2016-12-27 23:12:23.601487954 +1100
> +++ ./policy/modules/contrib/pcmcia.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,8 +1,5 @@
>  /etc/apm/event\.d/pcmcia	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> -/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
> -/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
> -
>  /usr/sbin/cardctl	--	gen_context(system_u:object_r:cardctl_exec_t,s0)
>  /usr/sbin/cardmgr	--	gen_context(system_u:object_r:cardmgr_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc ./policy/modules/contrib/plymouthd.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/plymouthd.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/plymouthd.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,7 +1,3 @@
> -/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
> -
> -/sbin/plymouthd	--	gen_context(system_u:object_r:plymouthd_exec_t,s0)
> -
>  /usr/bin/plymouth	--	gen_context(system_u:object_r:plymouth_exec_t,s0)
>
>  # Systemd unit file
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc ./policy/modules/contrib/portmap.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portmap.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portmap.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -1,9 +1,5 @@
>  /etc/rc\.d/init\.d/portmap	--	gen_context(system_u:object_r:portmap_initrc_exec_t,s0)
>
> -/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
> -/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
> -
>  /usr/sbin/pmap_dump	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
>  /usr/sbin/pmap_set	--	gen_context(system_u:object_r:portmap_helper_exec_t,s0)
>  /usr/sbin/portmap	--	gen_context(system_u:object_r:portmap_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc ./policy/modules/contrib/portreserve.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/portreserve.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/portreserve.fc	2017-01-10 17:58:35.122057152 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/portreserve	--	gen_context(system_u:object_r:portreserve_initrc_exec_t,s0)
>
> -/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
> -
>  /usr/sbin/portreserve	--	gen_context(system_u:object_r:portreserve_exec_t,s0)
>
>  /run/portreserve(/.*)?	gen_context(system_u:object_r:portreserve_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc ./policy/modules/contrib/ppp.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/ppp.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/ppp.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -9,9 +9,6 @@
>  /etc/ppp/resolv\.conf	--	gen_context(system_u:object_r:pppd_etc_rw_t,s0)
>  /etc/ppp/(auth|ip(v6|x)?)-(up|down)	--	gen_context(system_u:object_r:pppd_initrc_exec_t,s0)
>
> -/sbin/ppp-watch	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> -/sbin/pppoe-server	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> -
>  /usr/lib/systemd/system/ppp.*\.service      --      gen_context(system_u:object_r:pppd_unit_t,s0)
>
>  /usr/sbin/ipppd	--	gen_context(system_u:object_r:pppd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc ./policy/modules/contrib/prelude.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/prelude.fc	2016-12-27 23:12:23.605488064 +1100
> +++ ./policy/modules/contrib/prelude.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -4,8 +4,6 @@
>  /etc/rc\.d/init\.d/prelude-lml	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/prelude-manager	--	gen_context(system_u:object_r:prelude_initrc_exec_t,s0)
>
> -/sbin/audisp-prelude	--	gen_context(system_u:object_r:prelude_audisp_exec_t,s0)
> -
>  /usr/bin/prelude-correlator	--	gen_context(system_u:object_r:prelude_correlator_exec_t,s0)
>  /usr/bin/prelude-lml	--	gen_context(system_u:object_r:prelude_lml_exec_t,s0)
>  /usr/bin/prelude-manager	--	gen_context(system_u:object_r:prelude_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/quota.fc ./policy/modules/contrib/quota.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/quota.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/quota.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -10,9 +10,6 @@
>
>  /etc/rc\.d/init\.d/quota_nld	--	gen_context(system_u:object_r:quota_nld_initrc_exec_t,s0)
>
> -/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
> -/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
> -
>  /usr/sbin/convertquota	--	gen_context(system_u:object_r:quota_exec_t,s0)
>  /usr/sbin/quota(check|on)	--	gen_context(system_u:object_r:quota_exec_t,s0)
>  /usr/sbin/quota_nld	--	gen_context(system_u:object_r:quota_nld_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/raid.fc ./policy/modules/contrib/raid.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/raid.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/raid.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -3,14 +3,6 @@
>
>  /etc/rc\.d/init\.d/mdmonitor	--	gen_context(system_u:object_r:mdadm_initrc_exec_t,s0)
>
> -/sbin/iprdump	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprinit	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/iprupdate	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdadm	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmon	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/mdmpd	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -/sbin/raid-check	--	gen_context(system_u:object_r:mdadm_exec_t,s0)
> -
>  # Systemd unit files
>  /usr/lib/systemd/system/[^/]*mdadm-.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*mdmon.*	--	gen_context(system_u:object_r:mdadm_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc ./policy/modules/contrib/rdisc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rdisc.fc	2016-07-30 08:14:41.141651028 +1000
> +++ ./policy/modules/contrib/rdisc.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -1,3 +1 @@
> -/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
> -
>  /usr/sbin/rdisc	--	gen_context(system_u:object_r:rdisc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc ./policy/modules/contrib/readahead.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/readahead.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/readahead.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -1,5 +1,3 @@
> -/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
> -
>  /usr/sbin/readahead.*	--	gen_context(system_u:object_r:readahead_exec_t,s0)
>
>  /var/lib/readahead(/.*)?	gen_context(system_u:object_r:readahead_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc ./policy/modules/contrib/resmgr.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/resmgr.fc	2016-12-27 23:12:23.609488174 +1100
> +++ ./policy/modules/contrib/resmgr.fc	2017-01-10 17:58:35.126057278 +1100
> @@ -2,8 +2,6 @@
>
>  /etc/rc\.d/init\.d/resmgr	--	gen_context(system_u:object_r:resmgrd_initrc_exec_t,s0)
>
> -/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
> -
>  /usr/sbin/resmgrd	--	gen_context(system_u:object_r:resmgrd_exec_t,s0)
>
>  /run/\.resmgr_socket	-s	gen_context(system_u:object_r:resmgrd_var_run_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc ./policy/modules/contrib/rpcbind.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpcbind.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpcbind.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,7 +1,5 @@
>  /etc/rc\.d/init\.d/rpcbind	--	gen_context(system_u:object_r:rpcbind_initrc_exec_t,s0)
>
> -/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
> -
>  /usr/sbin/rpcbind	--	gen_context(system_u:object_r:rpcbind_exec_t,s0)
>
>  /var/cache/rpcbind(/.*)?	gen_context(system_u:object_r:rpcbind_var_lib_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc ./policy/modules/contrib/rpc.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpc.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/rpc.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -4,9 +4,6 @@
>  /etc/rc\.d/init\.d/nfslock	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/rpcidmapd	--	gen_context(system_u:object_r:rpcd_initrc_exec_t,s0)
>
> -/sbin/rpc\..*	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
> -/sbin/sm-notify	--	gen_context(system_u:object_r:rpcd_exec_t,s0)
> -
>  /usr/lib/systemd/system/nfs.*\.service --   gen_context(system_u:object_r:nfsd_unit_t,s0)
>  /usr/lib/systemd/system/rpc.*\.service --   gen_context(system_u:object_r:rpcd_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc ./policy/modules/contrib/rpm.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/rpm.fc	2016-12-31 21:09:27.285585236 +1100
> +++ ./policy/modules/contrib/rpm.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,8 +1,6 @@
> -/bin/rpm	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> -
>  /etc/rc\.d/init\.d/bcfg2	--	gen_context(system_u:object_r:rpm_initrc_exec_t,s0)
>
> -/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> +/usr/sbin/yast2	--	gen_context(system_u:object_r:rpm_exec_t,s0)
>
>  /usr/bin/debuginfo-install	--	gen_context(system_u:object_r:debuginfo_exec_t,s0)
>  /usr/bin/fedora-rmdevelrpms	--	gen_context(system_u:object_r:rpm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc ./policy/modules/contrib/shorewall.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shorewall.fc	2016-07-30 08:14:41.149651239 +1000
> +++ ./policy/modules/contrib/shorewall.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -3,9 +3,6 @@
>  /etc/shorewall(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
>  /etc/shorewall-lite(/.*)?	gen_context(system_u:object_r:shorewall_etc_t,s0)
>
> -/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
> -/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
> -
>  /usr/sbin/shorewall6?	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
>  /usr/sbin/shorewall-lite	--	gen_context(system_u:object_r:shorewall_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc ./policy/modules/contrib/shutdown.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/shutdown.fc	2016-12-27 23:12:23.613488284 +1100
> +++ ./policy/modules/contrib/shutdown.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,9 +1,5 @@
>  /etc/nologin	--	gen_context(system_u:object_r:shutdown_etc_t,s0)
>
> -/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
> -/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> -
>  /usr/lib/upstart/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
>
>  /usr/sbin/shutdown	--	gen_context(system_u:object_r:shutdown_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc ./policy/modules/contrib/usbmodules.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/usbmodules.fc	2016-07-30 08:14:41.157651450 +1000
> +++ ./policy/modules/contrib/usbmodules.fc	2017-01-10 17:58:35.130057404 +1100
> @@ -1,3 +1 @@
> -/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
> -
>  /usr/sbin/usbmodules	--	gen_context(system_u:object_r:usbmodules_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc ./policy/modules/contrib/vpn.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/vpn.fc	2016-12-27 23:12:23.621488504 +1100
> +++ ./policy/modules/contrib/vpn.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,5 +1,3 @@
> -/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
> -
>  /usr/bin/openconnect	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
>
>  /usr/sbin/vpnc	--	gen_context(system_u:object_r:vpnc_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc ./policy/modules/contrib/zosremote.fc
> --- /home/rjc/src/pol-git/policy/modules/contrib/zosremote.fc	2016-07-30 08:14:41.165651661 +1000
> +++ ./policy/modules/contrib/zosremote.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,3 +1 @@
> -/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
> -
>  /usr/sbin/audispd-zos-remote	--	gen_context(system_u:object_r:zos_remote_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc ./policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/corecommands.fc	2017-01-10 18:02:00.404520096 +1100
> @@ -1,19 +1,17 @@
>  #
>  # /bin
>  #
> -/bin				-d	gen_context(system_u:object_r:bin_t,s0)
> -/bin/.*					gen_context(system_u:object_r:bin_t,s0)
> -/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/fish			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/mountpoint			--	gen_context(system_u:object_r:bin_t,s0)
> -/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/tcsh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> -/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin				gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/.*				gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/ksh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mksh			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/mountpoint		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin/sash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  #
>  # /dev
> @@ -131,30 +129,30 @@
>  # /lib
>  #
>
> -/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
> -/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/nut/.*			--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/readahead(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/security/pam_krb5/pam_krb5_storetmp -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/[^/]*			--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/udev/scsi_id		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/upstart(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>
>  ifdef(`distro_gentoo',`
> -/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/dhcpcd/dhcpcd-run-hooks	--	gen_context(system_u:object_r:bin_t,s0)
>
> -/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> -/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/addons(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/sh(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/dhclient-.* -- gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/rcscripts/net\.modules\.d/helpers\.d/udhcpc-.* -- gen_context(system_u:object_r:bin_t,s0)
>  ')
>
>  #
>  # /sbin
>  #
> -/sbin				-d	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
> -/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
> -/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
> +/usr/sbin				gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/.*				gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/insmod_ksymoops_clean	--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/mkfs\.cramfs		--	gen_context(system_u:object_r:bin_t,s0)
> +/usr/sbin/nologin			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  #
>  # /opt
> @@ -181,7 +179,7 @@
>  # /usr
>  #
>  /usr/(.*/)?Bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/usr/(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/bin(/.*)?				gen_context(system_u:object_r:bin_t,s0)
>  /usr/bin/d?ash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/bash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/bash2			--	gen_context(system_u:object_r:shell_exec_t,s0)
> @@ -196,10 +194,10 @@
>  /usr/bin/yash			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/bin/zsh.*			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
> -/usr/lib(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?bin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>
>  /usr/(.*/)?sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -/usr/lib(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> +/usr/lib/(.*/)?sbin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>
>  /usr/lib/at-spi2-core(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/lib/avahi/avahi-daemon-check-dns\.sh	--	gen_context(system_u:object_r:bin_t,s0)
> @@ -284,14 +282,14 @@
>  /usr/lib/[^/]*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>  /usr/lib/thunderbird.*/mozilla-xremote-client -- gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/lib/xen/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> -
>  /usr/libexec(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/libexec/git-core/git-shell	--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/libexec/sesh		--	gen_context(system_u:object_r:shell_exec_t,s0)
>
>  /usr/libexec/openssh/sftp-server --	gen_context(system_u:object_r:bin_t,s0)
>
> +/usr/local/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Brother(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Printer(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/linuxprinter/filters(/.*)?	gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc ./policy/modules/kernel/corenetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corenetwork.fc	2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/corenetwork.fc	2017-01-10 18:02:39.949763456 +1100
> @@ -5,8 +5,5 @@
>
>  /dev/net/.*		-c	gen_context(system_u:object_r:tun_tap_device_t,s0)
>
> -/lib/udev/devices/ppp	-c	gen_context(system_u:object_r:ppp_device_t,s0)
> -/lib/udev/devices/net/.* -c	gen_context(system_u:object_r:tun_tap_device_t,s0)
> -
>  /usr/lib/udev/devices/ppp -c	gen_context(system_u:object_r:ppp_device_t,s0)
>  /usr/lib/udev/devices/net/.* -c gen_context(system_u:object_r:tun_tap_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/devices.fc ./policy/modules/kernel/devices.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/devices.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/devices.fc	2017-01-10 17:58:35.146057909 +1100
> @@ -194,10 +194,10 @@
>  /etc/udev/devices	-d	gen_context(system_u:object_r:device_t,s0)
>
>  # used by init scripts to initally populate udev /dev
> -/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
> -/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> -/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
> -/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
> +/usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
> +/usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> +/usr/lib/udev/devices/null	-c	gen_context(system_u:object_r:null_device_t,s0)
> +/usr/lib/udev/devices/zero	-c	gen_context(system_u:object_r:zero_device_t,s0)
>
>  /usr/lib/udev/devices(/.*)?		gen_context(system_u:object_r:device_t,s0)
>  /usr/lib/udev/devices/lp.*	-c	gen_context(system_u:object_r:printer_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/files.fc ./policy/modules/kernel/files.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/files.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/files.fc	2017-01-10 18:03:25.659199980 +1100
> @@ -106,12 +106,12 @@
>  #
>  # /lib(64)?
>  #
> -/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
> +/usr/lib/modules(/.*)?		gen_context(system_u:object_r:modules_object_t,s0)
>
>  ifdef(`distro_debian',`
>  # on Debian /lib/init/rw is a tmpfs used like /var/run but
>  # before /var is mounted
> -/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
> +/usr/lib/init/rw(/.*)?		gen_context(system_u:object_r:var_run_t,s0-mls_systemhigh)
>  ')
>
>  #
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc ./policy/modules/kernel/filesystem.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/filesystem.fc	2016-12-31 21:09:24.673504756 +1100
> +++ ./policy/modules/kernel/filesystem.fc	2017-01-10 17:58:35.150058035 +1100
> @@ -6,10 +6,10 @@
>  /dev/shm		-d	gen_context(system_u:object_r:tmpfs_t,s0)
>  /dev/shm/.*			<<none>>
>
> -/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
> -/lib/udev/devices/hugepages/.*	<<none>>
> -/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
> -/lib/udev/devices/shm/.*	<<none>>
> +/usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
> +/usr/lib/udev/devices/hugepages/.*	<<none>>
> +/usr/lib/udev/devices/shm	-d	gen_context(system_u:object_r:tmpfs_t,s0)
> +/usr/lib/udev/devices/shm/.*	<<none>>
>
>  /usr/lib/udev/devices/hugepages -d	gen_context(system_u:object_r:hugetlbfs_t,s0)
>  /usr/lib/udev/devices/hugepages/.*	<<none>>
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/storage.fc ./policy/modules/kernel/storage.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/storage.fc	2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/kernel/storage.fc	2017-01-10 18:04:16.428794725 +1100
> @@ -83,8 +83,5 @@
>
>  /dev/usb/rio500		-c	gen_context(system_u:object_r:removable_device_t,s0)
>
> -/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
> -/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
> -
>  /usr/lib/udev/devices/loop.* -b	gen_context(system_u:object_r:fixed_disk_device_t,mls_systemhigh)
>  /usr/lib/udev/devices/fuse	-c	gen_context(system_u:object_r:fuse_device_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc ./policy/modules/kernel/terminal.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/terminal.fc	2017-01-10 17:57:39.236295140 +1100
> +++ ./policy/modules/kernel/terminal.fc	2017-01-10 17:58:35.762077323 +1100
> @@ -41,5 +41,5 @@
>  /dev/tts/[0-9]+		-c	gen_context(system_u:object_r:tty_device_t,s0)
>
>  # used by init scripts to initally populate udev /dev
> -/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
> +/usr/lib/udev/devices/console -c	gen_context(system_u:object_r:console_device_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/authlogin.fc ./policy/modules/system/authlogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/authlogin.fc	2016-12-31 21:09:24.677504879 +1100
> +++ ./policy/modules/system/authlogin.fc	2017-01-10 18:07:41.183333055 +1100
> @@ -1,5 +1,5 @@
>
> -/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
> +/usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
>
>  /etc/\.pwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
>  /etc/group\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
> @@ -7,13 +7,10 @@
>  /etc/passwd\.lock	--	gen_context(system_u:object_r:shadow_t,s0)
>  /etc/shadow.*		--	gen_context(system_u:object_r:shadow_t,s0)
>
> -/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
> -/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
> -/sbin/unix_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> -/sbin/unix_update	--	gen_context(system_u:object_r:updpwd_exec_t,s0)
> -/sbin/unix_verify	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/pam_console_apply	 --	gen_context(system_u:object_r:pam_console_exec_t,s0)
> +/usr/sbin/pam_timestamp_check --	gen_context(system_u:object_r:pam_exec_t,s0)
>  ifdef(`distro_suse', `
> -/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
> +/usr/sbin/unix2_chkpwd	--	gen_context(system_u:object_r:chkpwd_exec_t,s0)
>  ')
>
>  /usr/bin/login		--	gen_context(system_u:object_r:login_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/clock.fc ./policy/modules/system/clock.fc
> --- /home/rjc/src/pol-git/policy/modules/system/clock.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/clock.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,6 +1,6 @@
>
>  /etc/adjtime		--	gen_context(system_u:object_r:adjtime_t,s0)
>
> -/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
> +/usr/sbin/hwclock		--	gen_context(system_u:object_r:hwclock_exec_t,s0)
>
>  /usr/sbin/hwclock	--	gen_context(system_u:object_r:hwclock_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/fstools.fc ./policy/modules/system/fstools.fc
> --- /home/rjc/src/pol-git/policy/modules/system/fstools.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/fstools.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,47 +1,42 @@
> -/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/fsck.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkfs.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/parted		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partprobe		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/partx		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> -/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/badblocks		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blkid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/blockdev		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/cfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dosfsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dump		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/dumpe2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e4fsck		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/e2label		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/fdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/findfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/hdparm		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/install-mbr	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/jfs_.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/losetup.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/lsraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/make_reiser4	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkdosfs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mke4fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkraid		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkreiserfs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/mkswap		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidautorun	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/raidstart		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/reiserfs(ck|tune)	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/resize.*fs	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/scsi_info		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/sfdisk		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapoff		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/swapon.*		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/tune2fs		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zdb		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zhack		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zinject		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zpios		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/zstreamdump	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> +/usr/sbin/ztest		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
>
>  /usr/bin/partition_uuid	--	gen_context(system_u:object_r:fsadm_exec_t,s0)
>  /usr/bin/raw		--	gen_context(system_u:object_r:fsadm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/getty.fc ./policy/modules/system/getty.fc
> --- /home/rjc/src/pol-git/policy/modules/system/getty.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/getty.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,7 +1,7 @@
>
>  /etc/mgetty(/.*)?		gen_context(system_u:object_r:getty_etc_t,s0)
>
> -/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
> +/usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
>
>  /usr/sbin/.*getty		--	gen_context(system_u:object_r:getty_exec_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hostname.fc ./policy/modules/system/hostname.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hostname.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hostname.fc	2017-01-10 17:58:35.134057530 +1100
> @@ -1,4 +1,4 @@
>
> -/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
> +/usr/bin/hostname		--	gen_context(system_u:object_r:hostname_exec_t,s0)
>
>  /usr/bin/hostname	--	gen_context(system_u:object_r:hostname_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/hotplug.fc ./policy/modules/system/hotplug.fc
> --- /home/rjc/src/pol-git/policy/modules/system/hotplug.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/hotplug.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -7,8 +7,8 @@
>  /run/usb(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
>  /run/hotplug(/.*)?		gen_context(system_u:object_r:hotplug_var_run_t,s0)
>
> -/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> -/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/hotplug		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> +/usr/sbin/netplugd		--	gen_context(system_u:object_r:hotplug_exec_t,s0)
>
>  /usr/sbin/hotplug	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
>  /usr/sbin/netplugd	--	gen_context(system_u:object_r:hotplug_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/init.fc ./policy/modules/system/init.fc
> --- /home/rjc/src/pol-git/policy/modules/system/init.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/init.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -22,21 +22,17 @@
>  #
>  # /lib
>  #
> -/lib/systemd/systemd	--	gen_context(system_u:object_r:init_exec_t,s0)
>
>  ifdef(`distro_gentoo', `
> -/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
> +/usr/lib/rc/init\.d(/.*)?		gen_context(system_u:object_r:initrc_state_t,s0)
>  ')
>
>  #
>  # /sbin
>  #
> -/sbin/init(ng)?		--	gen_context(system_u:object_r:init_exec_t,s0)
> -# because nowadays, /sbin/init is often a symlink to /sbin/upstart
> -/sbin/upstart		--	gen_context(system_u:object_r:init_exec_t,s0)
>
>  ifdef(`distro_gentoo', `
> -/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
> +/usr/sbin/rc		--	gen_context(system_u:object_r:rc_exec_t,s0)
>  ')
>
>  #
> diff -ru /home/rjc/src/pol-git/policy/modules/system/ipsec.fc ./policy/modules/system/ipsec.fc
> --- /home/rjc/src/pol-git/policy/modules/system/ipsec.fc	2016-12-27 23:12:20.925414371 +1100
> +++ ./policy/modules/system/ipsec.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -18,8 +18,6 @@
>  /etc/swanctl			-d	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>  /etc/swanctl/swanctl.conf	--	gen_context(system_u:object_r:ipsec_conf_file_t,s0)
>
> -/sbin/setkey			--	gen_context(system_u:object_r:setkey_exec_t,s0)
> -
>  /usr/lib/ipsec/_plutoload	-- 	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
>  /usr/lib/ipsec/_plutorun	--	gen_context(system_u:object_r:ipsec_mgmt_exec_t,s0)
>  /usr/lib/ipsec/eroute		--	gen_context(system_u:object_r:ipsec_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/iptables.fc ./policy/modules/system/iptables.fc
> --- /home/rjc/src/pol-git/policy/modules/system/iptables.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/iptables.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -4,18 +4,16 @@
>  /etc/sysconfig/ip6?tables.*	--	gen_context(system_u:object_r:iptables_conf_t,s0)
>  /etc/sysconfig/system-config-firewall.* -- gen_context(system_u:object_r:iptables_conf_t,s0)
>
> -/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipchains.*		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipset			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> -/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ebtables-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-restore	--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ip6?tables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-restore		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/ipvsadm-save		--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/nft			--	gen_context(system_u:object_r:iptables_exec_t,s0)
> +/usr/sbin/xtables-multi		--	gen_context(system_u:object_r:iptables_exec_t,s0)
>
>  /usr/lib/systemd/system/[^/]*arptables.* -- gen_context(system_u:object_r:iptables_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*ebtables.*	 -- gen_context(system_u:object_r:iptables_unit_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/libraries.fc ./policy/modules/system/libraries.fc
> --- /home/rjc/src/pol-git/policy/modules/system/libraries.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/libraries.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -35,12 +35,13 @@
>  #
>  # /lib(64)?
>  #
> -/lib					-d	gen_context(system_u:object_r:lib_t,s0)
> -/lib					-l	gen_context(system_u:object_r:lib_t,s0)
> -/lib/.*						gen_context(system_u:object_r:lib_t,s0)
> -/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/.*					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib64/.*					gen_context(system_u:object_r:lib_t,s0)
> +/usr/lib/ld-[^/]*\.so(\.[^/]*)*		--	gen_context(system_u:object_r:ld_so_t,s0)
>
> -/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
> +/usr/lib/security/pam_poldi\.so		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
>
>  #
>  # /opt
> @@ -93,7 +94,7 @@
>  #
>  # /sbin
>  #
> -/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
> +/usr/sbin/ldconfig				--	gen_context(system_u:object_r:ldconfig_exec_t,s0)
>
>  #
>  # /usr
> @@ -108,7 +109,7 @@
>  /usr/(.*/)?lib(/.*)?				gen_context(system_u:object_r:lib_t,s0)
>  /usr/(.*/)?lib64(/.*)?				gen_context(system_u:object_r:lib_t,s0)
>
> -/usr/(.*/)?lib(64)?(/.*)?/ld-[^/]*\.so(\.[^/]*)* gen_context(system_u:object_r:ld_so_t,s0)
> +/usr/lib/(.*/)?ld-[^/]*\.so(\.[^/]*)? -- gen_context(system_u:object_r:ld_so_t,s0)
>
>  /usr/(.*/)?nvidia/.+\.so(\..*)?		--	gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> @@ -166,10 +167,6 @@
>  /usr/lib/xorg/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>  /usr/x11R6/lib/modules/extensions/libglx\.so(\.[^/]*)* -- gen_context(system_u:object_r:textrel_shlib_t,s0)
>
> -ifdef(`distro_debian',`
> -/usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
> -')
> -
>  ifdef(`distro_gentoo',`
>  /usr/lib				-l	gen_context(system_u:object_r:lib_t,s0)
>  ')
> diff -ru /home/rjc/src/pol-git/policy/modules/system/locallogin.fc ./policy/modules/system/locallogin.fc
> --- /home/rjc/src/pol-git/policy/modules/system/locallogin.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/locallogin.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -1,6 +1,6 @@
>
> -/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> -/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sulogin		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> +/usr/sbin/sushell		--	gen_context(system_u:object_r:sulogin_exec_t,s0)
>
>  /usr/sbin/sulogin	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
>  /usr/sbin/sushell	--	gen_context(system_u:object_r:sulogin_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/logging.fc ./policy/modules/system/logging.fc
> --- /home/rjc/src/pol-git/policy/modules/system/logging.fc	2016-12-31 21:09:24.681505002 +1100
> +++ ./policy/modules/system/logging.fc	2017-01-10 17:58:35.138057656 +1100
> @@ -6,17 +6,6 @@
>  /etc/rc\.d/init\.d/auditd --	gen_context(system_u:object_r:auditd_initrc_exec_t,s0)
>  /etc/rc\.d/init\.d/rsyslog --	gen_context(system_u:object_r:syslogd_initrc_exec_t,s0)
>
> -/sbin/audispd		--	gen_context(system_u:object_r:audisp_exec_t,s0)
> -/sbin/audisp-remote	--	gen_context(system_u:object_r:audisp_remote_exec_t,s0)
> -/sbin/auditctl		--	gen_context(system_u:object_r:auditctl_exec_t,s0)
> -/sbin/auditd		--	gen_context(system_u:object_r:auditd_exec_t,s0)
> -/sbin/klogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/minilogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/rklogd		--	gen_context(system_u:object_r:klogd_exec_t,s0)
> -/sbin/rsyslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslogd		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -/sbin/syslog-ng		--	gen_context(system_u:object_r:syslogd_exec_t,s0)
> -
>  /usr/lib/systemd/system/auditd.* -- gen_context(system_u:object_r:auditd_unit_t,s0)
>  /usr/lib/systemd/system/[^/]*systemd-journal.* -- gen_context(system_u:object_r:syslogd_unit_t,s0)
>  /usr/lib/systemd/systemd-journald -- gen_context(system_u:object_r:syslogd_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/lvm.fc ./policy/modules/system/lvm.fc
> --- /home/rjc/src/pol-git/policy/modules/system/lvm.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/lvm.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -7,7 +7,7 @@
>  # /bin
>  #
>  ifdef(`distro_gentoo',`
> -/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/bin/cryptsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
>  ')
>
>  #
> @@ -26,65 +26,64 @@
>  #
>  # /lib
>  #
> -/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-10/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/lvm-200/.*		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/lib/udev/udisks-lvm-pv-export	--	gen_context(system_u:object_r:lvm_exec_t,s0)
>
>  #
>  # /sbin
>  #
> -/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> -/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/cryptsetup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmraid		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/dmsetup\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/e2fsadm		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvm\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmdiskscan	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmiopversion	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsadc		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvmsar		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvresize		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/lvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipathd	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/multipath\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdata		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvmove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/pvscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgbackup	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcfgrestore	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgchange\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgck		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgcreate		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgdisplay		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgexport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgextend		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgimport		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmerge		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgmknodes		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgreduce		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgremove		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgrename		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgs		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgscan\.static	--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgsplit		--	gen_context(system_u:object_r:lvm_exec_t,s0)
> +/usr/sbin/vgwrapper		--	gen_context(system_u:object_r:lvm_exec_t,s0)
>
>  #
>  # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/modutils.fc ./policy/modules/system/modutils.fc
> --- /home/rjc/src/pol-git/policy/modules/system/modutils.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/modutils.fc	2017-01-10 18:09:53.291691208 +1100
> @@ -1,5 +1,3 @@
> -/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -
>  /etc/modules\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  /etc/modprobe\.conf.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  /etc/modprobe\.d(/.*)?		gen_context(system_u:object_r:modules_conf_t,s0)
> @@ -10,20 +8,8 @@
>  /etc/modprobe.devfs.*	--	gen_context(system_u:object_r:modules_conf_t,s0)
>  ')
>
> -/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> -
> -/lib/modules/modprobe\.conf -- gen_context(system_u:object_r:modules_conf_t,s0)
> -
>  /run/tmpfiles.d(/.*)?	gen_context(system_u:object_r:kmod_var_run_t,s0)
>
> -/sbin/depmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/generate-modprobe\.conf -- gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/insmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modprobe.*	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/modules-update	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/rmmod.*		--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -/sbin/update-modules	--	gen_context(system_u:object_r:kmod_exec_t,s0)
> -
>  /usr/bin/kmod		--	gen_context(system_u:object_r:kmod_exec_t,s0)
>
>  /usr/lib/modules/[^/]+/modules\..+ -- gen_context(system_u:object_r:modules_dep_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/mount.fc ./policy/modules/system/mount.fc
> --- /home/rjc/src/pol-git/policy/modules/system/mount.fc	2017-01-10 17:57:39.244295392 +1100
> +++ ./policy/modules/system/mount.fc	2017-01-10 18:10:39.753222015 +1100
> @@ -1,11 +1,3 @@
> -/bin/fusermount			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/mount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/bin/umount.*			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -
> -/sbin/mount\.zfs		--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zfs			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -/sbin/zpool			--	gen_context(system_u:object_r:mount_exec_t,s0)
> -
>  /usr/bin/fusermount		--	gen_context(system_u:object_r:mount_exec_t,s0)
>  /usr/bin/mount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
>  /usr/bin/umount.*		--	gen_context(system_u:object_r:mount_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/netlabel.fc ./policy/modules/system/netlabel.fc
> --- /home/rjc/src/pol-git/policy/modules/system/netlabel.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/netlabel.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -1,3 +1,3 @@
> -/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> +/usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
>
>  /usr/sbin/netlabelctl	--	gen_context(system_u:object_r:netlabel_mgmt_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc ./policy/modules/system/selinuxutil.fc
> --- /home/rjc/src/pol-git/policy/modules/system/selinuxutil.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/selinuxutil.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -22,9 +22,7 @@
>  #
>  # /sbin
>  #
> -/sbin/load_policy		--	gen_context(system_u:object_r:load_policy_exec_t,s0)
> -/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
> -/sbin/setfiles.*		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
> +/usr/sbin/restorecon		--	gen_context(system_u:object_r:setfiles_exec_t,s0)
>
>  #
>  # /usr
> diff -ru /home/rjc/src/pol-git/policy/modules/system/setrans.fc ./policy/modules/system/setrans.fc
> --- /home/rjc/src/pol-git/policy/modules/system/setrans.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/setrans.fc	2017-01-10 17:58:35.142057783 +1100
> @@ -2,7 +2,7 @@
>
>  /run/setrans(/.*)?		gen_context(system_u:object_r:setrans_var_run_t,mls_systemhigh)
>
> -/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
> +/usr/sbin/mcstransd		--	gen_context(system_u:object_r:setrans_exec_t,s0)
>
>  /usr/lib/systemd/system/mcstrans.*\.service -- gen_context(system_u:object_r:setrans_unit_t,s0)
>
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc ./policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/sysnetwork.fc	2017-01-10 18:16:40.301068723 +1100
> @@ -1,11 +1,5 @@
>
>  #
> -# /bin
> -#
> -/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/bin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
>  # /dev
>  #
>  ifdef(`distro_debian',`
> @@ -37,24 +31,6 @@
>  ')
>
>  #
> -# /sbin
> -#
> -/sbin/dhclient.*	--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcdbd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/dhcpcd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/ethtool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ip		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_configure	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_interface	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/ipx_internal_net	--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iw		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/iwconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/mii-tool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -/sbin/pump		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> -/sbin/tc		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> -
> -#
>  # /usr
>  #
>  /usr/bin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/systemd.fc ./policy/modules/system/systemd.fc
> --- /home/rjc/src/pol-git/policy/modules/system/systemd.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/systemd.fc	2017-01-10 18:18:57.213552868 +1100
> @@ -1,13 +1,3 @@
> -/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
> -/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
> -/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> -/bin/systemd-detect-virt	--	gen_context(system_u:object_r:systemd_detect_virt_exec_t,s0)
> -/bin/systemd-nspawn			--	gen_context(system_u:object_r:systemd_nspawn_exec_t,s0)
> -/bin/systemd-run			--	gen_context(system_u:object_r:systemd_run_exec_t,s0)
> -/bin/systemd-stdio-bridge	--	gen_context(system_u:object_r:systemd_stdio_bridge_exec_t,s0)
> -/bin/systemd-tmpfiles		--	gen_context(system_u:object_r:systemd_tmpfiles_exec_t,s0)
> -/bin/systemd-tty-ask-password-agent		--			gen_context(system_u:object_r:systemd_passwd_agent_exec_t,s0)
> -
>  /usr/bin/systemd-analyze		--	gen_context(system_u:object_r:systemd_analyze_exec_t,s0)
>  /usr/bin/systemd-cgtop			--	gen_context(system_u:object_r:systemd_cgtop_exec_t,s0)
>  /usr/bin/systemd-coredump		--	gen_context(system_u:object_r:systemd_coredump_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/udev.fc ./policy/modules/system/udev.fc
> --- /home/rjc/src/pol-git/policy/modules/system/udev.fc	2016-12-31 21:09:24.685505126 +1100
> +++ ./policy/modules/system/udev.fc	2017-01-10 18:20:03.463719957 +1100
> @@ -9,22 +9,22 @@
>  /etc/udev/rules.d(/.*)? gen_context(system_u:object_r:udev_rules_t,s0)
>  /etc/udev/scripts/.+ --	gen_context(system_u:object_r:udev_helper_exec_t,s0)
>
> -/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/udev-acl --	gen_context(system_u:object_r:udev_exec_t,s0)
>
>  ifdef(`distro_debian',`
> -/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/bin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/lib/udev/create_static_nodes -- gen_context(system_u:object_r:udev_exec_t,s0)
>  ')
>
> -/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
> -/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udev	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevadm	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevsend	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/udevstart	--	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/wait_for_sysfs -- gen_context(system_u:object_r:udev_exec_t,s0)
>
>  ifdef(`distro_redhat',`
> -/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
> +/usr/sbin/start_udev --	gen_context(system_u:object_r:udev_exec_t,s0)
>  ')
>
>  /usr/bin/udevinfo --	gen_context(system_u:object_r:udev_exec_t,s0)
> @@ -44,6 +44,5 @@
>  /run/udev(/.*)?	gen_context(system_u:object_r:udev_var_run_t,s0)
>
>  ifdef(`distro_debian',`
> -/lib/systemd/systemd-udevd	--	gen_context(system_u:object_r:udev_exec_t,s0)
>  /run/xen-hotplug -d	gen_context(system_u:object_r:udev_var_run_t,s0)
>  ')

-- 
Chris PeBenito

[refpolicy] [PATCH] usrmerge2

[Russell Coker]

On Saturday, 4 February 2017 3:20:07 PM AEDT Chris PeBenito wrote:
> I've merged this, but moved lines to their proper places.  I found more 
> duplicates to remove.  I also found some modules_object_t lines that 
> have incorrectly been in the files module for a long time.

Great!

I've just attached a patch that fixes some minor issues related to usrmerge 
that I discovered after sending the initial patch.  I think I sent the second 
patch to the list before, but you are better with this one as it's against the 
latest git.

-- 
My Main Blog         http://etbe.coker.com.au/
My Documents Blog    http://doc.coker.com.au/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: diff
Type: text/x-patch
Size: 3385 bytes
Desc: not available
Url : http://oss.tresys.com/pipermail/refpolicy/attachments/20170205/19bd2106/attachment-0001.bin 

[refpolicy] [PATCH] usrmerge2

[Chris PeBenito]

On 02/05/17 05:05, Russell Coker wrote:
> On Saturday, 4 February 2017 3:20:07 PM AEDT Chris PeBenito wrote:
>> I've merged this, but moved lines to their proper places.  I found more
>> duplicates to remove.  I also found some modules_object_t lines that
>> have incorrectly been in the files module for a long time.
>
> Great!
>
> I've just attached a patch that fixes some minor issues related to usrmerge
> that I discovered after sending the initial patch.  I think I sent the second
> patch to the list before, but you are better with this one as it's against the
> latest git.

Merged, though I moved some lines around.


> diff -ru /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc /tmp/pol-git/policy/modules/kernel/corecommands.fc
> --- /home/rjc/src/pol-git/policy/modules/kernel/corecommands.fc	2017-02-05 20:57:06.659564895 +1100
> +++ /tmp/pol-git/policy/modules/kernel/corecommands.fc	2017-02-05 20:59:39.719756827 +1100
> @@ -247,7 +247,7 @@
>
>  /usr/libexec/openssh/sftp-server --	gen_context(system_u:object_r:bin_t,s0)
>
> -/usr/local/bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
> +/usr/local/(.*/)?bin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/sbin(/.*)?			gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Brother(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/local/Printer(/.*)?		gen_context(system_u:object_r:bin_t,s0)
> @@ -261,6 +261,7 @@
>  /usr/sbin/sesh			--	gen_context(system_u:object_r:shell_exec_t,s0)
>  /usr/sbin/smrsh			--	gen_context(system_u:object_r:shell_exec_t,s0)
>
> +/usr/share/(.*/)?bin(/.*)?		gen_context(system_u:object_r:bin_t,s0)
>  /usr/share/ajaxterm/ajaxterm.py.* --	gen_context(system_u:object_r:bin_t,s0)
>  /usr/share/ajaxterm/qweb.py.* --	gen_context(system_u:object_r:bin_t,s0)
>  /usr/share/apr-0/build/[^/]+\.sh --	gen_context(system_u:object_r:bin_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/services/xserver.fc /tmp/pol-git/policy/modules/services/xserver.fc
> --- /home/rjc/src/pol-git/policy/modules/services/xserver.fc	2017-01-04 21:16:43.475711829 +1100
> +++ /tmp/pol-git/policy/modules/services/xserver.fc	2017-02-05 21:00:45.449564423 +1100
> @@ -61,10 +61,14 @@
>  # /usr
>  #
>
> -/usr/s?bin/gdm(3)?	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/gdm-binary	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/lxdm(-binary)? --	gen_context(system_u:object_r:xdm_exec_t,s0)
> -/usr/s?bin/[xkw]dm	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/gdm(3)?	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/gdm-binary	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/lxdm(-binary)? --	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/bin/[xkw]dm	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/gdm(3)?	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/gdm-binary	--	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/lxdm(-binary)? --	gen_context(system_u:object_r:xdm_exec_t,s0)
> +/usr/sbin/[xkw]dm	--	gen_context(system_u:object_r:xdm_exec_t,s0)
>  /usr/bin/gpe-dm		--	gen_context(system_u:object_r:xdm_exec_t,s0)
>  /usr/bin/iceauth	--	gen_context(system_u:object_r:iceauth_exec_t,s0)
>  /usr/bin/slim		--	gen_context(system_u:object_r:xdm_exec_t,s0)
> diff -ru /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc /tmp/pol-git/policy/modules/system/sysnetwork.fc
> --- /home/rjc/src/pol-git/policy/modules/system/sysnetwork.fc	2017-02-05 20:57:06.671565222 +1100
> +++ /tmp/pol-git/policy/modules/system/sysnetwork.fc	2017-02-05 21:01:59.223593018 +1100
> @@ -39,6 +39,7 @@
>  /usr/sbin/dhclient.*		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
>  /usr/sbin/dhcdbd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
>  /usr/sbin/dhcpcd		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
> +/usr/sbin/dhcp6c		--	gen_context(system_u:object_r:dhcpc_exec_t,s0)
>  /usr/sbin/ethtool		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
>  /usr/sbin/ifconfig		--	gen_context(system_u:object_r:ifconfig_exec_t,s0)
>  /usr/sbin/ip			--	gen_context(system_u:object_r:ifconfig_exec_t,s0)



-- 
Chris PeBenito