Примечание
/etc/polkit-1/rules.d/50-default.rules:
polkit.addAdminRule(function(action, subject) {
return ["unix-group:wheel"];
});
По умолчанию запрашивается пароль пользователя, находящегося в группе wheel.
49-alt_group_policy_permissions.rules, для пользовательской политики — 48-alt_group_policy_permissions_user.<USERNAME>.rules. Правила для пользовательской политики обрабатываются до правил для машинной политики. У машинных политик имеются блокировки (параметр Блокировать), при установке которых машинные политики становятся приоритетнее пользовательских (создается файл правил 47-alt_group_policy_permissions.rules).
Таблица 28.10. Ограничения Accounts
|
Политика
|
Описание
|
Правило Polkitd для службы Accounts (org.freedesktop.accounts)
|
|---|---|---|
|
Ограничение возможности изменения конфигурации экрана входа в систему
|
Данная политика управляет ограничением возможности изменения конфигурации экрана входа в систему
|
set-login-option
|
|
Ограничение возможности изменения собственного пароля пользователя
|
Данная политика управляет ограничением возможности изменения собственного пароля пользователя
|
change-own-password
|
|
Ограничение возможности изменения собственных пользовательских данных
|
Данная политика управляет ограничением возможности изменения собственных пользовательских данных
|
change-own-user-data
|
|
Ограничение возможности управления учетными записями пользователей
|
Данная политика управляет ограничением возможности управления учетными записями пользователей
|
user-administration
|
Таблица 28.11. Ограничения ColorManager
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности изменения цветового профиля
|
Политика ограничивает возможность изменения цветового профиля
|
org.freedesktop.color-manager.modify-profile
|
|
Ограничение возможности изменения цветовых параметров для устройства
|
Политика ограничивает возможность изменения цветовых параметров для устройства
|
org.freedesktop.color-manager.modify-device
|
|
Ограничение возможности использования цветового датчика
|
Политика ограничивает возможность использования цветового датчика
|
org.freedesktop.color-manager.sensor-lock
|
|
Ограничение возможности создания цветового профиля
|
Политика ограничивает возможность создания цветового профиля
|
org.freedesktop.color-manager.create-profile
|
|
Ограничение возможности создания цветоуправляемого устройства
|
Политика управляет ограничением возможности создания цветоуправляемого устройства
|
org.freedesktop.color-manager.create-device
|
|
Ограничение возможности удаления цветового профиля
|
Политика ограничивает возможность удаления цветового профиля
|
org.freedesktop.color-manager.delete-profile
|
|
Ограничение возможности удаления цветоуправляемого устройства
|
Политика ограничивает возможность удаления цветоуправляемого устройства
|
org.freedesktop.color-manager.delete-device
|
|
Ограничение возможности установки цветовых профилей в системный каталог
|
Политика ограничивает возможность установки цветовых профилей в системный каталог
|
org.freedesktop.color-manager.install-system-wide
|
|
Ограничение возможности временной блокировки цветового профиля устройства
|
Политика управляет ограничением возможности временной блокировки цветового профиля устройства.
Метод device-inhibit утилиты colormgr блокирует цветовой профиль для применения к устройству. Блокировка устанавливается на время (в секундах). При параметре timeout равным «0», применение цветового профиля к устройству будет заблокировано «навсегда», до прекращения работы утилиты colormgr. Polkit позволяет ограничить доступ пользователя к данному методу.
|
org.freedesktop.color-manager.device-inhibit
|
Таблица 28.12. Ограничения DisplayManager
|
Политика
|
Описание
|
Правило Polkitd для службы DisplayManager
|
|---|---|---|
|
Ограничение доступа к своей учетной записи
|
Данная политика управляет ограничением возможности доступа к своей учетной записи
|
org.freedesktop.DisplayManager.AccountsService.ModifyOwn
|
|
Ограничение доступа к списку учетных записей пользователей
|
Данная политика управляет ограничением возможности доступа к списку учетных записей пользователей
|
org.freedesktop.DisplayManager.AccountsService.ModifyAny
|
|
Ограничение чтения списка учетных записей пользователей
|
Данная политика управляет ограничением возможности чтения списка учетных записей пользователей
|
org.freedesktop.DisplayManager.AccountsService.ReadAny
|
Таблица 28.13. Ограничения HostName
|
Политика
|
Описание
|
Правило Polkitd для HostName
|
|---|---|---|
|
Ограничение возможности установки имени хоста
|
Данная политика управляет ограничением возможности установки имени хоста
|
org.freedesktop.hostname1.set-hostname
|
|
Ограничение возможности установки информации о машине
|
Данная политика управляет ограничением возможности установки информации о машине
|
org.freedesktop.hostname1.set-machine-info
|
|
Ограничение возможности установки статического имени хоста
|
Данная политика управляет ограничением возможности установки статического имени хоста
|
org.freedesktop.hostname1.set-static-hostname
|
Таблица 28.14. Ограничения для работы с токенами и смарт-картами
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности доступа к демону PC/SC
|
Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами
|
org.debian.pcsc-lite.access_pcsc
|
|
Ограничение возможности доступа к смарт-картам
|
Данная политика управляет ограничением возможности доступа к смарт-картам
|
org.debian.pcsc-lite.access_card
|
Таблица 28.15. Ограничения службы Login
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности блокировки или разблокировки экрана активных сеансов
|
Политика ограничивает возможность блокировки или разблокировки экрана активных сеансов
|
org.freedesktop.login1.lock-sessions
|
|
Ограничение возможности выключения питания системы
|
Политика ограничивает возможность выключения питания системы
|
org.freedesktop.login1.power-off
|
|
Ограничение возможности выключения системы, когда приложение запрещает это действие
|
Политика ограничивает возможность выключения системы, когда приложение запрещает это действие
|
org.freedesktop.login1.power-off-ignore-inhibit
|
|
Ограничение возможности выключения системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность выключения системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.power-off-multiple-sessions
|
|
Ограничение возможности изменения сеанса виртуального терминала
|
Политика управляет ограничением возможности изменить сеанс виртуального терминала
|
org.freedesktop.login1.chvt
|
|
Ограничение возможности остановки системы
|
Политика ограничивает возможность остановки системы
|
org.freedesktop.login1.halt
|
|
Ограничение возможности остановки системы, пока приложение запрещает это действие
|
Политика ограничивает возможность остановки системы, пока приложение запрещает это действие
|
org.freedesktop.login1.halt-ignore-inhibit
|
|
Ограничение возможности остановки системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность остановки системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.halt-multiple-sessions
|
|
Ограничение возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
|
Политика управляет ограничением возможности очистки устройства в месте привязки (изменение способа подключения устройств к рабочим местам)
|
org.freedesktop.login1.flush-devices
|
|
Ограничение возможности перевода системы в спящий режим
|
Политика ограничивает возможность перевода системы в спящий режим
|
org.freedesktop.login1.hibernate
|
|
Ограничение возможности перевода системы в спящий режим, пока приложение препятствует этому
|
Политика ограничивает возможность перевода системы в спящий режим, пока приложение препятствует этому
|
org.freedesktop.login1.hibernate-ignore-inhibit
|
|
Ограничение возможности перевода системы в спящий режим, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность перевода системы в спящий режим, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.hibernate-multiple-sessions
|
|
Ограничение возможности перезагрузки системы
|
Политика ограничивает возможность перезагрузки системы
|
org.freedesktop.login1.reboot
|
|
Ограничение возможности перезагрузки системы, когда приложение препятствует этому действию
|
Политика ограничивает возможность перезагрузки системы, когда приложение препятствует этому действию
|
org.freedesktop.login1.reboot-ignore-inhibit
|
|
Ограничение возможности перезагрузки системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность перезагрузки системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.reboot-multiple-sessions
|
|
Ограничение возможности приложениям блокировать выключение системы
|
Политика ограничивает возможность приложениям блокировать выключение системы
|
org.freedesktop.login1.inhibit-block-shutdown
|
|
Ограничение возможности приложениям запрещать автоматическое приостановление работы системы
|
Политика ограничивает возможность приложениям запрещать автоматическое приостановление работы системы
|
org.freedesktop.login1.inhibit-block-idle
|
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного ключа гибернации (энергосбережения) системы
|
org.freedesktop.login1.inhibit-handle-hibernate-key
|
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратного переключателя крышки (устройства)
|
org.freedesktop.login1.inhibit-handle-lid-switch
|
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши перезагрузки системы
|
org.freedesktop.login1.inhibit-handle-reboot-key
|
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши питания системы
|
org.freedesktop.login1.inhibit-handle-power-key
|
|
Ограничение возможности приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
|
Политика ограничивает возможность приложениям запрещать низкоуровневую обработку аппаратной клавиши приостановки системы
|
org.freedesktop.login1.inhibit-handle-suspend-key
|
|
Ограничение возможности приложениям запрещать системный сон
|
Политика ограничивает возможность приложениям запрещать системный сон
|
org.freedesktop.login1.inhibit-block-sleep
|
|
Ограничение возможности приложениям откладывать выключение системы
|
Политика ограничивает возможность приложениям откладывать выключение системы
|
org.freedesktop.login1.inhibit-delay-shutdown
|
|
Ограничение возможности приложениям откладывать переход в спящий режим
|
Политика ограничивает возможность приложениям откладывать переход в спящий режим
|
org.freedesktop.login1.inhibit-delay-sleep
|
|
Ограничение возможности приостановки работы системы
|
Политика ограничивает возможность приостановки работы системы
|
org.freedesktop.login1.suspend
|
|
Ограничение возможности приостановки работы системы, пока приложение препятствует этому действию
|
Политика ограничивает возможность приостановки работы системы, пока приложение препятствует этому действию
|
org.freedesktop.login1.suspend-ignore-inhibit
|
|
Ограничение возможности приостановки работы системы, при наличии активных сеансов других пользователей
|
Политика ограничивает возможность приостановки работы системы, при наличии активных сеансов других пользователей
|
org.freedesktop.login1.suspend-multiple-sessions
|
|
Ограничение возможности присоединения устройств к рабочим местам
|
Политика управляет ограничением возможности присоединить устройства к рабочим местам
|
org.freedesktop.login1.attach-device
|
|
Ограничение возможности разрешения незалогиненному пользователю запускать программы
|
Политика ограничивает возможность разрешения незалогиненному пользователю запускать программы
|
org.freedesktop.login1.set-self-linger
|
|
Ограничение возможности разрешения незалогиненным пользователям запускать программы
|
Политика ограничивает возможность разрешения незалогиненным пользователям запускать программы
|
org.freedesktop.login1.set-user-linger
|
|
Ограничение возможности указания загрузчику системы на загрузку в определенную запись загрузчика
|
Политика ограничивает возможность указания загрузчику системы на загрузку в определенную запись загрузчика
|
org.freedesktop.login1.set-reboot-to-boot-loader-entry
|
|
Ограничение возможности указания загрузчику системы на необходимость загрузки в меню загрузчика
|
Политика ограничивает возможность указания загрузчику системы на необходимость загрузки в меню загрузчика
|
org.freedesktop.login1.set-reboot-to-boot-loader-menu
|
|
Ограничение возможности указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
|
Политика ограничивает возможность указания микропрограмме системы на необходимость перезагрузки в интерфейс настройки микропрограммы
|
org.freedesktop.login1.set-reboot-to-firmware-setup
|
|
Ограничение возможности управления активными сеансами, пользователями и местами
|
Политика ограничивает возможность управления активными сеансами, пользователями и местами
|
org.freedesktop.login1.manage
|
|
Ограничение возможности установки «причины» перезагрузки в ядре
|
Политика ограничивает возможность установить «причины» перезагрузки в ядре
|
org.freedesktop.login1.set-reboot-parameter
|
|
Ограничение возможности установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
|
Политика ограничивает возможность установки сообщения на стене (сообщение, которое будет отправлено на все терминалы)
|
org.freedesktop.login1.set-wall-message
|
Таблица 28.16. Ограничения службы Machine
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности авторизации в локальном контейнере
|
Политика управляет ограничением возможности авторизации в локальном контейнере
|
org.freedesktop.machine1.login
|
|
Ограничение возможности авторизации на локальном хосте
|
Политика управляет ограничением возможности авторизации на локальном хосте
|
org.freedesktop.machine1.host-login
|
|
Ограничение возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
|
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) в локальном контейнере
|
org.freedesktop.machine1.shell
|
|
Ограничение возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
|
Политика управляет ограничением возможности получения интерпретатора командной строки (командной оболочки) на локальном хосте
|
org.freedesktop.machine1.host-shell
|
|
Ограничение возможности получения псевдотелетайпа (TTY) в локальном контейнере
|
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) в локальном контейнере
|
org.freedesktop.machine1.open-pty
|
|
Ограничение возможности получения псевдотелетайпа (TTY) на локальном хосте
|
Политика управляет ограничением возможности получения псевдотелетайпа (TTY) на локальном хосте
|
org.freedesktop.machine1.host-open-pty
|
|
Ограничение возможности управления локальными виртуальными машинами и контейнерами
|
Политика управляет ограничением возможности управления локальными виртуальными машинами и контейнерами
|
org.freedesktop.machine1.manage-machines
|
|
Ограничение возможности управления локальными виртуальными машинами и образами контейнеров
|
Политика управляет ограничением возможности управления локальными виртуальными машинами и образами контейнеров
|
org.freedesktop.machine1.manage-images
|
Таблица 28.17. Ограничения ModemManager
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности блокировки и управления мобильным широкополосным устройством
|
Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства
|
org.freedesktop.ModemManager1.Device.Control
|
|
Ограничение возможности добавления, изменения или удаления контактов устройства
|
Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа
|
org.freedesktop.ModemManager1.Contacts
|
|
Ограничение возможности запросов и использования сетевой информации и услуг
|
Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы
|
org.freedesktop.ModemManager1.USSD
|
|
Ограничение возможности запросов информации о сетевом времени и часовом поясе
|
Политика ограничивает возможность запрашивать информацию о сетевом времени
|
org.freedesktop.ModemManager1.Time
|
|
Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений
|
Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства
|
org.freedesktop.ModemManager1.Messaging
|
|
Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова
|
Политика ограничивает возможность голосовых вызовов
|
org.freedesktop.ModemManager1.Voice
|
|
Ограничение возможности просмотра информации о географическом положении и позиционировании
|
Политика ограничивает возможность просмотра информации о географическом положении
|
org.freedesktop.ModemManager1.Location
|
|
Ограничение возможности управления демоном Modem Manager
|
Политика ограничивает возможность управления диспетчером модемов
|
org.freedesktop.ModemManager1.Control
|
|
Ограничение возможности управления прошивкой мобильного широкополосного устройства
|
Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства
|
org.freedesktop.ModemManager1.Firmware
|
Таблица 28.18. Ограничения NetworkManager
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности включения или отключения сети
|
Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации
|
org.freedesktop.NetworkManager.enable-disable-network
|
|
Ограничение возможности включения или отключения статистики
|
Политика управляет ограничением возможности включения или отключения счётчика статистики устройства
|
org.freedesktop.NetworkManager.enable-disable-statistics
|
|
Ограничение возможности включения или отключения устройств Wi-Fi
|
Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi
|
org.freedesktop.NetworkManager.enable-disable-wifi
|
|
Ограничение возможности включения или отключения устройств WiMAX
|
Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX
|
org.freedesktop.NetworkManager.enable-disable-wimax
|
|
Ограничение возможности включения или отключения WWAN-устройств
|
Политика управляет ограничением возможности включения или отключения WWAN-устройств
|
org.freedesktop.NetworkManager.enable-disable-wwan
|
|
Ограничение возможности изменения общих настроек DNS
|
Политика управляет ограничением возможности изменений общей конфигурации DNS
|
org.freedesktop.NetworkManager.settings.modify.global-dns
|
|
Ограничение возможности изменения персональных сетевых настроек
|
Данная политика управляет ограничением возможности изменений личных сетевых соединений
|
org.freedesktop.NetworkManager.settings.modify.own
|
|
Ограничение возможности изменения постоянного имени хоста
|
Данная политика управляет ограничением возможности изменения постоянного имени (hostname) системы
|
org.freedesktop.NetworkManager.settings.modify.hostname
|
|
Ограничение возможности изменения сетевых подключений для всех пользователей
|
Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей
|
org.freedesktop.NetworkManager.settings.modify.system
|
|
Ограничение возможности изменения системных настроек для сети
|
Политика управляет ограничением возможности изменения системных сетевых настроек
|
org.freedesktop.NetworkManager.network-control
|
|
Ограничение возможности изменения состояния сна NetworkManager
|
Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы).
В спящем состоянии все интерфейсы, которыми управляет NetworkManager, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NetworkManager не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы.
|
org.freedesktop.NetworkManager.sleep-wake
|
|
Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке
|
Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней
|
org.freedesktop.NetworkManager.checkpoint-rollback
|
|
Ограничение возможности перезагрузки NetworkManager
|
Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager
|
org.freedesktop.NetworkManager.reload
|
|
Ограничение возможности проверки подключения сети
|
Политика управляет ограничением возможности включения или отключения проверки подключения к сети
|
org.freedesktop.NetworkManager.enable-disable-connectivity-check
|
|
Ограничение возможности сканирования Wi-Fi сетей
|
Данная политика управляет ограничением возможности сканирования Wi-Fi сетей
|
org.freedesktop.NetworkManager.wifi.scan
|
|
Ограничение возможности совместных подключений через защищённую сеть Wi-Fi
|
Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi
|
org.freedesktop.NetworkManager.wifi.share.protected
|
|
Ограничение возможности совместных подключений через открытую сеть Wi-Fi
|
Политика управляет ограничением возможности совместного подключения ерез открытую сеть Wi-Fi
|
org.freedesktop.NetworkManager.wifi.share.open
|
$ nmcli general permissions
PERMISSION VALUE
org.freedesktop.NetworkManager.checkpoint-rollback auth
org.freedesktop.NetworkManager.enable-disable-connectivity-check нет
org.freedesktop.NetworkManager.enable-disable-network auth
org.freedesktop.NetworkManager.enable-disable-statistics auth
org.freedesktop.NetworkManager.enable-disable-wifi да
org.freedesktop.NetworkManager.enable-disable-wimax да
org.freedesktop.NetworkManager.enable-disable-wwan да
org.freedesktop.NetworkManager.network-control да
org.freedesktop.NetworkManager.reload auth
org.freedesktop.NetworkManager.settings.modify.global-dns нет
org.freedesktop.NetworkManager.settings.modify.hostname auth
org.freedesktop.NetworkManager.settings.modify.own auth
org.freedesktop.NetworkManager.settings.modify.system да
org.freedesktop.NetworkManager.sleep-wake да
org.freedesktop.NetworkManager.wifi.scan да
org.freedesktop.NetworkManager.wifi.share.open да
org.freedesktop.NetworkManager.wifi.share.protected да
Таблица 28.19. Ограничения PackageKit
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности восстановления пакетов в системе
|
Данная политика ограничивает пользователям возможность восстановления системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.repair-system
|
|
Ограничение возможности добавления ключа электронной подписи
|
Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-trust-signing-key
|
|
Ограничение возможности обновления пакетов
|
Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-update
|
|
Ограничение возможности обновления системных источников пакетов
|
Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-sources-refresh
|
|
Ограничение возможности переустановки пакетов
|
Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-reinstall
|
|
Ограничение возможности принятия лицензионного соглашения
|
Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-eula-accept
|
|
Ограничение возможности редактирования источников пакетов
|
Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.system-sources-configure
|
|
Ограничение возможности удаления пакетов
|
Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-remove
|
|
Ограничение возможности установки пакетов
|
Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-install
|
|
Ограничение возможности установки непроверенных пакетов
|
Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit
|
org.freedesktop.packagekit.package-install-untrusted
|
Таблица 28.20. Ограничения Realmd
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности возможности запустить обнаружение области Kerberos REALM
|
Данная политика управляет ограничением возможности запустить обнаружение области Kerberos REALM
|
org.freedesktop.realmd.discover-realm
|
|
Ограничение возможности изменения политики входа в систему
|
Данная политика управляет ограничением возможности изменения политики входа в систему
|
org.freedesktop.realmd.login-policy
|
|
Ограничение возможности присоединения машины к домену или Kerberos REALM
|
Данная политика управляет ограничением возможности присоединения машины к домену или Kerberos REALM
|
org.freedesktop.realmd.configure-realm
|
|
Ограничение возможности отключения машины из домена или Kerberos REALM
|
Данная политика управляет ограничением возможности удаления машины из домена или Kerberos REALM
|
org.freedesktop.realmd.deconfigure-realm
|
Таблица 28.21. Ограничения Systemd
|
Политика
|
Описание
|
Правило Polkitd для службы Systemd (org.freedesktop.systemd1)
|
|---|---|---|
|
Ограничение возможности отправки пароля системе
|
Данная политика управляет ограничением возможности отправки пароля системе
|
reply-password
|
|
Ограничение возможности перезагрузки состояния systemd
|
Данная политика управляет ограничением возможности перезагрузки состояния systemd
|
reload-daemon
|
|
Ограничение возможности управления системными службами или другими устройствами
|
Данная политика управляет ограничением возможности управления системными службами или другими устройствами
|
manage-units
|
|
Ограничение возможности управления файлами системных служб или модулей
|
Данная политика управляет ограничением возможности управления файлами системных служб или модулей
|
manage-unit-files
|
|
Ограничение возможности установки или удаления переменных окружения менеджера систем и служб
|
Данная политика управляет ограничением возможности установки или удаления переменных окружения менеджера систем и служб
|
set-environment
|
Таблица 28.22. Ограничения TimeDate
|
Политика
|
Описание
|
Правило Polkitd для службы TimeDate (org.freedesktop.timedate1)
|
|---|---|---|
|
Ограничение возможности включения или выключения синхронизации сетевого времени
|
Данная политика управляет ограничением возможности включения или выключения синхронизации сетевого времени
|
set-ntp
|
|
Ограничение возможности установки системного времени
|
Данная политика управляет ограничением возможности установки системного времени
|
set-time
|
|
Ограничение возможности установки системного часового пояса
|
Данная политика управляет ограничением возможности установки системного часового пояса
|
set-timezone
|
|
Ограничение возможности установки RTC в местный часовой пояс или UTC
|
Данная политика управляет ограничением возможности установки RTC в местный часовой пояс или UTC
|
set-local-rtc
|
Таблица 28.23. Ограничения Udisks
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Общая политика ограничения возможности монтирования
|
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах
|
org.freedesktop.udisks2.filesystem-mount
org.freedesktop.udisks2.filesystem-mount-other-seat
org.freedesktop.udisks2.filesystem-mount-system
|
|
Ограничение возможности включения/отключения SMART
|
Данная политика управляет ограничением возможности включения/отключения SMART
|
org.freedesktop.udisks2.ata-smart-enable-disable
|
|
Ограничение возможности демонтировать устройство, смонтированное другим пользователем
|
Данная политика управляет ограничением возможности демонтировать устройство, смонтированное другим пользователем
|
org.freedesktop.udisks2.filesystem-unmount-others
|
|
Ограничение возможности заблокировать зашифрованное устройство, разблокированное другим пользователем
|
Данная политика управляет ограничением возможности заблокировать зашифрованное устройство, разблокированное другим пользователем
|
org.freedesktop.udisks2.encrypted-lock-others
|
|
Ограничение возможности запуска самопроверки SMART
|
Данная политика управляет ограничением возможности запуска самопроверки SMART
|
org.freedesktop.udisks2.ata-smart-selftest
|
|
Ограничение возможности извлечь носитель
|
Данная политика управляет ограничением возможности извлечь носитель
|
org.freedesktop.udisks2.eject-media
|
|
Ограничение возможности извлечь носитель из дисковода, подключенного к другому рабочему месту
|
Данная политика управляет ограничением возможности извлечь носитель из дисковода, подключенного к другому рабочему месту
|
org.freedesktop.udisks2.eject-media-other-seat
|
|
Ограничение возможности извлечь носитель из системного диска
|
Данная политика управляет ограничением возможности извлечь носитель из системного диска
|
org.freedesktop.udisks2.eject-media-system
|
|
Ограничение возможности изменения настроек привода
|
Данная политика управляет ограничением возможности изменения настроек привода
|
org.freedesktop.udisks2.modify-drive-settings
|
|
Ограничение возможности изменения общесистемной конфигурации
|
Данная политика управляет ограничением возможности изменения общесистемной конфигурации
|
org.freedesktop.udisks2.modify-system-configuration
|
|
Ограничение возможности изменения петлевых (loop) устройств
|
Данная политика управляет ограничением возможности изменения петлевых (loop) устройств
|
org.freedesktop.udisks2.loop-modify-others
|
|
Ограничение возможности изменения системного устройства
|
Данная политика управляет ограничением возможности изменения системного устройства
|
org.freedesktop.udisks2.modify-device-system
|
|
Ограничение возможности изменения устройства
|
Данная политика управляет ограничением возможности изменения устройства
|
org.freedesktop.udisks2.modify-device
|
|
Ограничение возможности изменения устройства, подключенного к другому рабочему месту
|
Данная политика управляет ограничением возможности изменения устройства, подключенного к другому рабочему месту
|
org.freedesktop.udisks2.modify-device-other-seat
|
|
Ограничение возможности изменить пароль для зашифрованного устройства
|
Данная политика управляет ограничением возможности изменения пароля для зашифрованного устройства
|
org.freedesktop.udisks2.encrypted-change-passphrase
|
|
Ограничение возможности изменения системного пароля для зашифрованного устройства
|
Данная политика управляет ограничением возможности изменения системного пароля для зашифрованного устройства
|
org.freedesktop.udisks2.encrypted-change-passphrase-system
|
|
Ограничение возможности монтирования системных разделов
|
Данная политика ограничивает возможность монтирования системных разделов. Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная
HintSystem установлена в значение True. Жёсткий диск с установленной ОС относится к системным устройствам
|
org.freedesktop.udisks2.filesystem-mount-system
|
|
Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах
|
Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии)
|
org.freedesktop.udisks2.filesystem-mount-other-seat
|
|
Ограничение возможности монтирования файловой системы
|
Данная политика управляет ограничением возможности монтирования файловой системы устройства
|
org.freedesktop.udisks2.filesystem-mount
|
|
Ограничение возможности монтирования файловой системы от имени другого пользователя
|
Данная политика управляет ограничением возможности монтирования файловой системы от имени другого пользователя
|
org.freedesktop.udisks2.filesystem-mount-other-user
|
|
Ограничение возможности монтировать/демонтировать файловые системы, указанные в файле fstab с параметром x-udisks-auth
|
Данная политика управляет ограничением возможности монтирования/демонтирования файловых систем, указанных в файле fstab с параметром x-udisks-auth
|
org.freedesktop.udisks2.filesystem-fstab
|
|
Ограничение возможности надежно стереть жёсткий диск
|
Данная политика управляет ограничением возможности надежно стереть жёсткий диск
|
org.freedesktop.udisks2.ata-secure-erase
|
|
Ограничение возможности обновить данные SMART
|
Данная политика управляет ограничением возможности обновить данные SMART
|
org.freedesktop.udisks2.ata-smart-update
|
|
Ограничение возможности отменить задание
|
Данная политика управляет ограничением возможности отменить задание
|
org.freedesktop.udisks2.cancel-job
|
|
Ограничение возможности отменить задание, начатое другим пользователем
|
Данная политика управляет ограничением возможности отменить задание, начатое другим пользователем
|
org.freedesktop.udisks2.cancel-job-other-user
|
|
Ограничение возможности отправить команду ожидания для диска с удаленного места
|
Данная политика управляет ограничением возможности отправить команду ожидания для диска с удаленного места
|
org.freedesktop.udisks2.ata-standby-other-seat
|
|
Ограничение возможности разблокировать зашифрованное системное устройство
|
Данная политика управляет ограничением возможности разблокировать зашифрованное системное устройство
|
org.freedesktop.udisks2.encrypted-unlock-system
|
|
Ограничение возможности разблокировать зашифрованное устройство
|
Данная политика управляет ограничением возможности разблокировать зашифрованное устройство
|
org.freedesktop.udisks2.encrypted-unlock
|
|
Ограничение возможности разблокировать зашифрованное устройство, подключенное к другому рабочему месту
|
Данная политика управляет ограничением возможности разблокировать зашифрованное устройство, подключенное к другому рабочему месту
|
org.freedesktop.udisks2.encrypted-unlock-other-seat
|
|
Ограничение возможности разблокировать зашифрованное устройство, указанное в файле crypttab, с опцией x-udisks-auth
|
Данная политика управляет ограничением возможности разблокировать зашифрованное устройство, указанное в файле crypttab, с опцией x-udisks-auth
|
org.freedesktop.udisks2.encrypted-unlock-crypttab
|
|
Ограничение возможности отправить команду режима ожидания на системный диск
|
Данная политика управляет ограничением возможности отправить команду режима ожидания на системный диск
|
org.freedesktop.udisks2.ata-standby-system
|
|
Ограничение возможности отправить резервную команду
|
Данная политика управляет ограничением возможности отправить резервную команду
|
org.freedesktop.udisks2.ata-standby
|
|
Ограничение возможности разрешения на проверку состояния питания жесткого диска
|
Данная политика управляет ограничением возможности разрешения на проверку состояния питания жесткого диска
|
org.freedesktop.udisks2.ata-check-power
|
|
Ограничение возможности смены владельца файловой системы
|
Данная политика управляет ограничением возможности смены владельца файловой системы
|
org.freedesktop.udisks2.filesystem-take-ownership
|
|
Ограничение возможности удаления петлевых (loop) устройств
|
Данная политика управляет ограничением возможности удаления петлевых (loop) устройств
|
org.freedesktop.udisks2.loop-delete-others
|
|
Ограничение возможности разрешения управления массивами RAID
|
Данная политика управляет ограничением возможности разрешения управления массивами RAID
|
org.freedesktop.udisks2.manage-md-raid
|
|
Ограничение возможности управления петлевыми (loop) устройствами
|
Данная политика управляет ограничением возможности управления петлевыми (loop) устройствами
|
org.freedesktop.udisks2.loop-setup
|
|
Ограничение возможности управления пространством подкачки
|
Данная политика управляет ограничением возможности управления пространством подкачки
|
org.freedesktop.udisks2.manage-swapspace
|
|
Ограничение возможности установить данные SMART из большого двоичного объект
|
Данная политика управляет ограничением возможности установить данные SMART из большого двоичного объекта
|
org.freedesktop.udisks2.ata-smart-simulate
|
Таблица 28.24. Другие политики
|
Политика
|
Описание
|
Правило Polkitd
|
|---|---|---|
|
Ограничение возможности запуска программы от имени другого пользователя
|
Данная политика управляет ограничением возможности запуска программы от имени другого пользователя
|
org.freedesktop.policykit.exec
|
{GUID GPT}/Machine/Registry.pol и {GUID GPT}/User/Registry.pol.
Registry.pol:
PReg [Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;] [Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No] [Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self] [Software\BaseALT\Policies\PolkitLocks;org.freedesktop.NetworkManager.network-control;;;] [Software\BaseALT\Policies\Polkit;org.freedesktop.NetworkManager.network-control;;Yes]