/usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и разворачивать её единообразно на всех клиентах. Формат шаблонов политик по умолчанию представляет собой архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
Таблица 8.4. Состав локальной политики
|
Описание
|
Комментарий
|
|---|---|
|
Включение oddjobd.service
|
Необходимо для обеспечения возможности запуска
gpupdate для пользователя с правами администратора
|
|
Включение gpupdate.service
|
Необходимо для регулярного обновления настроек машины
|
|
Включение sshd.service
|
Необходимо для обеспечения возможности удалённого администрирования
|
|
Включение аутентификации с помощью GSSAPI для sshd
|
Необходимо для аутентификации в домене при доступе через SSH
|
|
Ограничение аутентификации для sshd по группам wheel и remote
|
Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии)
|
|
Открытие порта 22
|
Необходимо для обеспечения возможности подключения по SSH на машинах при старте Firewall applier
|
/usr/share/local-policy/workstation/Machine/Registry.pol.xml):
<?xml version="1.0" encoding="utf-8"?>
<PolFile num_entries="9" signature="PReg" version="1">
<Entry type="1" type_name="REG_SZ">
<Key>Software\BaseALT\Policies\Control</Key>
<ValueName>sshd-gssapi-auth</ValueName>
<Value>enabled</Value>
</Entry>
<Entry type="1" type_name="REG_SZ">
<Key>Software\BaseALT\Policies\Control</Key>
<ValueName>ssh-gssapi-auth</ValueName>
<Value>enabled</Value>
</Entry>
<Entry type="1" type_name="REG_SZ">
<Key>Software\BaseALT\Policies\Control</Key>
<ValueName>sshd-allow-groups</ValueName>
<Value>enabled</Value>
</Entry>
<Entry type="1" type_name="REG_SZ">
<Key>Software\BaseALT\Policies\Control</Key>
<ValueName>sshd-allow-groups-list</ValueName>
<Value>remote</Value>
</Entry>
<Entry type="1" type_name="REG_SZ">
<Key>Software\BaseALT\Policies\Control</Key>
<ValueName>system-policy</ValueName>
<Value>gpupdate</Value>
</Entry>
<Entry type="4" type_name="REG_DWORD">
<Key>Software\BaseALT\Policies\SystemdUnits</Key>
<ValueName>oddjobd.service</ValueName>
<Value>1</Value>
</Entry>
<Entry type="4" type_name="REG_DWORD">
<Key>Software\BaseALT\Policies\SystemdUnits</Key>
<ValueName>sshd.service</ValueName>
<Value>1</Value>
</Entry>
<Entry type="4" type_name="REG_DWORD">
<Key>Software\BaseALT\Policies\SystemdUnits</Key>
<ValueName>gpupdate.service</ValueName>
<Value>1</Value>
</Entry>
<Entry type="1" type_name="REG_SZ">
<Key>SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules</Key>
<ValueName>OpenSSH</ValueName>
<Value>v2.20|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=22|Name=Open SSH port|Desc=Open SSH port|</Value>
</Entry>
</PolFile>