Product SiteDocumentation Site

10.4.2. Управление control framework

Через групповые политики реализовано управление настройками control.
control — использующийся в ОС «Альт» механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор. Подсистема control используется для управления доступом к службам и позволяет переключать многие системные службы между заранее определенными состояниями.
Для настройки политики следует перейти в КомпьютерАдминистративные шаблоныСистема ALT. В этом разделе есть несколько подразделов, соответствующих категориям control:
GPUI. Политики настройки систем ALT
После выбора категории, в правом окне редактора отобразится список политик:
GPUI. Список политик группы «Безопасность»
При выборе политики, откроется диалоговое окно настройки политики:
GPUI. Диалоговое окно настройки политики
Можно не задавать настройку политики, включить или отключить. Если выбрать параметр Включено, в разделе Параметры в выпадающем списке можно выбрать режим доступа для данного control:
GPUI. Выбор режима доступа для control
Все control в GPUI разделены на категории:

Таблица 10.2. Категория «Безопасность»

Политика
Control
Описание
Режимы
Выполнение программы /usr/bin/chage
chage
Политика позволяет контролировать доступ для выполнения программы /usr/bin/chage
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chage
  • Любой пользователь — любой пользователь может просмотреть, когда ему следует сменить свой пароль, используя команду chage -l имя_пользователя
Выполнение программы /usr/bin/chfn
chfn
Политика позволяет контролировать поведение и права доступа к команде chfn (/usr/bin/chfn). Команда chfn может изменить полное имя пользователя, номер кабинета, номера офисного и домашнего телефона для учётной записи пользователя. Обычный пользователь может изменять поля только для своей учётной записи, с учётом ограничений в /etc/login.defs (конфигурация по умолчанию не позволяет пользователям менять свое полное имя)
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chfn
  • Любой пользователь — любой пользователь может использовать команду /usr/bin/chfn
Выполнение программы /usr/bin/chsh
chsh
Политика позволяет управлять правами доступа к команде chsh (/usr/bin/chsh). Команда chsh позволяет изменить командную оболочку (или интерпретатор командной строки), запускаемую по умолчанию при регистрации пользователя в текстовой консоли (по умолчанию используется /bin/bash). Обычный пользователь может изменить командную оболочку только для своей учётной записи (командная оболочка должна быть перечислена в файле /etc/shells). Суперпользователь может изменить настройки для любой учётной записи (могут быть указаны любые значения)
  • Только root — только суперпользователь (root) может выполнить /usr/bin/chsh
  • Все пользователи — любой пользователь может использовать команду /usr/bin/chsh
Разрешение на использование consolehelper
consolehelper
Определяет права доступа к инструменту consolehelper (/usr/lib/consolehelper/priv/auth), который позволяет пользователям консоли запускать системные программы, выполняя аутентификацию через PAM. Когда это возможно, аутентификация выполняется графически; в противном случае выполняется в текстовой консоли, с которой был запущен consolehelper
  • Любой пользователь — любой пользователь может использовать consolehelper
  • Только wheel — только члены группы «wheel» могут использовать команду consolehelper
  • Только root — только суперпользователь (root) может использовать consolehelper
Выполнение программы /usr/bin/gpasswd
gpasswd
Определяет права на запуск инструмента /usr/bin/gpasswd
  • Любой пользователь — любой пользователь может выполнить /usr/bin/gpasswd
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/gpasswd
  • Только root — только суперпользователь (root) может выполнить /usr/bin/gpasswd
Выполнение программы /usr/bin/groupmems
groupmems
Определяет права на выполнение программы /usr/bin/groupmems
  • Любой пользователь — любой пользователь может выполнить /usr/bin/groupmems
  • Только wheel — только члены группы «wheel» могут выполнять команду /usr/bin/groupmems
  • Только root — только суперпользователь (root) может выполнить /usr/bin/groupmems
Выполнение программы usr/sbin/hddtemp
groupmems
Разрешение на использование инструмента usr/sbin/hddtemp — отслеживание температуры жёсткого диска
  • Любой пользователь — любой пользователь может выполнить usr/sbin/hddtemp
  • Только wheel — только члены группы «wheel» могут выполнять usr/sbin/hddtemp
  • Только root — только суперпользователь (root) может выполнить usr/sbin/hddtemp
Разрешения для /usr/bin/newgrp
newgrp
Разрешение на использование инструмента /usr/bin/newgrp
  • Любой пользователь — любой пользователь может выполнить /usr/bin/newgrp
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/newgrp
  • Только root — только суперпользователь (root) может выполнить /usr/bin/newgrp
Создание временных каталогов
pam_mktemp
Определяет, следует ли создавать отдельные временные каталоги для пользователей
  • Отключено — отключить создание отдельных временных каталогов для пользователей
  • Включено — включить создание отдельных временных каталогов для пользователей
Управление паролями с помощью passwd
passwd
Определяет политику управления паролями с помощью команды /usr/bin/passwd
  • TCB — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда включена схема tcb
  • Традиционный (схема tcb отключена) — любой пользователь может изменить свой пароль, используя /usr/bin/passwd, когда схема tcb отключена
  • Только root — только суперпользователь (root) имеет право изменять пароли пользователей
Управление проверками сложности пароля
passwdqc-enforce
Политика управляет паролями для достаточной надежности пароля
  • Все — включить проверку сложности пароля для всех пользователей
  • Только для пользователей — включить проверку сложности пароля для всех пользователей, кроме суперпользователей
Разрешения для /bin/su
su
Определяет разрешения для /bin/su
  • Любой пользователь — любой пользователь может запускать /bin/su
  • Все пользователи, кроме root — любой пользователь может запускать /bin/su, но только пользователи группы «wheel» могут повышать привилегии суперпользователя
  • Только wheel — только пользователи из группы «wheel» могут запускать /bin/su
  • Только root — только суперпользователь (root) может запускать /bin/su
Разрешения для /usr/bin/sudo
sudo
Определяет разрешения для /usr/bin/sudo
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudo
  • Только wheel — только пользователи из группы «wheel» могут запускать /usr/bin/sudo
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudo
Режим передачи родительской среды в sudo
sudoers
Определяет, передаются ли переменные среды в sudo
  • Строгий — не передавать переменные окружения дочернему процессу
  • Слабый — передать переменные окружения дочернему процессу
Разрешения для /usr/bin/sudoreplay
sudoreplay
Определяет разрешения для /usr/bin/sudoreplay
  • Любой пользователь — любой пользователь может запускать /usr/bin/sudoreplay
  • Только wheel — только пользователи из группы «wheel» могут запускать /usr/bin/sudoreplay
  • Только root — только суперпользователь (root) может запускать /usr/bin/sudoreplay
Разрешить команду sudo членам группы «wheel»
sudowheel
Эта политика разрешает или запрещает членам группы «wheel» применять команду sudo. Если политика включена, пользователи, входящие в группу «wheel», могут повысить системные привилегии через команду sudo. Если политика не сконфигурирована или отключена, пользователи, входящие в группу «wheel», не смогут применить команду sudo
  • Отключено — пользователи группы «wheel» не могут повысить привилегии через команду sudo
  • Включено — пользователи группы «wheel» могут повысить привилегии через команду sudo
Метод аутентификации
system-auth
Определяет метод аутентификации пользователя
  • Winbind — использовать Winbind для аутентификации
  • SSSD — использовать метод проверки подлинности демона System Security Services
Разрешения для /usr/lib/chkpwd/tcb_chkpwd
tcb_chkpwd
Определяет разрешения для привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd
  • Любой пользователь с отключенным tcb — любой пользователь может быть аутентифицирован с использованием привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd когда отключена схема tcb
  • Любой пользователь с включенным tcb — любой пользователь может аутентифицироваться с помощью привилегированного помощника /usr/lib/chkpwd/tcb_chkpwd если включена схема tcb
  • Только root — только суперпользователь (root) может быть аутентифицирован с помощью /usr/lib/chkpwd/tcb_chkpwd
Разрешения для /usr/bin/write
write
Определяет разрешения для /usr/bin/write
  • Любой пользователь — любой пользователь может запускать /usr/bin/write
  • Только root — только суперпользователь (root) может запускать /usr/bin/write

Примечание

Для поддержки общих сетевых ресурсов с помощью политик на клиенте должны быть выполнены следующие условия:
  • установлен пакет samba-usershares;
  • в файле /etc/samba/smb.conf в секции [global] подключен файл /etc/samba/usershares.conf (include = /etc/samba/usershares.conf).

Таблица 10.3. Категория «Службы»

Политика
Control
Описание
Режимы
Права доступа и поведение очереди заданий /usr/bin/at
at
Политика позволяет контролировать поведение и права доступа для запуска очереди заданий (права доступа для запуска /usr/bin/at)
  • Все пользователи — всем пользователям разрешено запускать /usr/bin/at
  • Только root — только суперпользователь (root) может запускать /usr/bin/at
  • Режим совместимости — режим «atdaemon» (не должен использоваться)
Режим демона NTP Chrony
chrony
Политика определяет режим работы (конфигурацию) демона Chrony, который реализует функции сетевого протокола времени
  • Сервер — в файл конфигурации будет добавлена директива «allow all»
  • Клиент — директива «allow» в файле конфигурации демона будет закомментирована
Разрешение на использование crontab
crontab
Политика определяет права доступа к инструменту crontab (/usr/bin/crontab)
  • Любой пользователь — любой пользователь может использовать /usr/bin/crontab
  • Только root — только суперпользователь (root) может использовать /usr/bin/crontab
Режим CUPS
cups
Политика определяет поведение CUPS
  • Внешний интерфейс IPP — внешний интерфейс IPP доступен для пользователя
  • Только локальные утилиты — только локальные утилиты могут работать с CUPS
Обратный поиск DNS для запросов OpenLDAP
ldap-reverse-dns-lookup
Политика определяет, разрешен ли обратный поиск DNS для запросов OpenLDAP
  • Разрешено — выполнять обратный поиск DNS для запросов OpenLDAP
  • Не разрешено — не выполнять обратный поиск DNS для запросов OpenLDAP
  • По умолчанию — выполнять обратный поиск DNS для запросов OpenLDAP
Проверка сертификата при установлении соединений TLS OpenLDAP
ldap-tls-cert-check
Политика определяет режим проверки сертификата при установке TLS соединений OpenLDAP
  • По умолчанию — установить соединение только с правильным сертификатом
  • Никогда — не выполнять никаких проверок
  • Разрешить — установить соединение, даже если сертификат отсутствует или неверный
  • Пробовать — установить соединение, если нет сертификата или с действующим сертификатом
  • Требовать — установить соединение только с правильным сертификатом
Режим работы Postfix MTA
postfix
Политика определяет режим работы MTA Postfix (почтовый транспортный агент)
  • Локальный (отключен) — Postfix MTA отключен
  • Сервер (фильтры отключены) — Postfix MTA включен без почтовых фильтров
  • Фильтр — Postfix MTA включен с почтовыми фильтрами
Разрешения для /usr/sbin/postqueue
postqueue
Определяет разрешения для /usr/sbin/postqueue
  • Любой пользователь — любому пользователю разрешено запускать /usr/sbin/postqueue
  • Группа mailadm — пользователям из группы «mailadm» разрешено запускать /usr/sbin/postqueue
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/postqueue
Режим работы Rpcbind
rpcbind
Политика определяет режим работы rpcbind (/sbin/rpcbind)
  • Сервер — rpcbind будет прослушивать входящие соединения из сети
  • Локальный — rpcbind будет принимать только локальные запросы
Поддержка SFTP на сервере OpenSSH
sftp
Политика определяет поддержку SFTP на сервере OpenSSH
  • Включено — включить поддержку SFTP на сервере OpenSSH
  • Отключено — отключить поддержку SFTP на сервере OpenSSH
Поддержка аутентификации OpenSSH-клиентов через GSSAPI
ssh-gssapi-auth
Эта политика определяет функциональные возможности поддержки аутентификации OpenSSH-клиентов через GSSAPI
  • Включено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов включена
  • Отключено — поддержка аутентификации через GSSAPI для OpenSSH-клиентов отключена
Samba опции
Гостевой доступ к общим каталогам
smb-conf-usershare-allow-guests
Политика управляет возможностью предоставления гостевого доступа общему ресурсу.
Данная политика управляет параметром usershare allow guests в файле /etc/samba/usershares.conf.
  • Включено — разрешить предоставление гостевого доступа к общему ресурсу; разрешить создание общих каталогов с параметром доступа без авторизации (usershare allow guests = yes)
  • Отключено — запретить предоставление гостевого доступа к общему ресурсу; запретить создание общих каталогов с параметром доступа без авторизации (usershare allow guests = no)
Доступ к общим каталогам других пользователей
smb-conf-usershare-owner-only
Политика управляет правом пользователя на предоставление общего доступа или доступ к каталогу, если пользователь не является владельцем этого каталога.
Данная политика управляет параметром usershare owner only в файле /etc/samba/usershares.conf.
  • Включено — запретить предоставление общего доступа не владельцу каталога; запретить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = yes)
  • Отключено — разрешить предоставление общего доступа не владельцу каталога; разрешить доступ к общим каталогам пользователей, без проверки владельца каталога (usershare owner only = no)
Доступ членам группы «sambashare» к управлению общими каталогами
role-sambashare
Политика управляет разрешением членам группы «sambashare» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «sambashare», добавляя их в группу «usershares».
  • Включено — разрешить членам группы «sambashare» управлять общими каталогами
  • Отключено — запретить членам группы «sambashare» управлять общими каталогами
Доступ членам группы «users» к управлению общими каталогами
role-usershares
Политика управляет разрешением членам группы «users» управлять общими каталогами.
Конфигурации пользовательских общих ресурсов расположены в каталоге /var/lib/samba/usershares, права на запись в котором имеют члены группы «usershares». Данная политика позволяет расширить привилегии членов группы «users», добавляя их в группу «usershares».
  • Включено — разрешить членам группы «users» управлять общими каталогами
  • Отключено — запретить членам группы «users» управлять общими каталогами. Данный параметр также влияет на разрешение управления общими каталогами через настройку предпочтений
Запрет на создание общих каталогов в системных каталогах
smb-conf-usershare-deny-list
Данная политика управляет параметром usershare prefix deny list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр usershare prefix deny list определяет каталоги в корневом каталоге (/), в которых пользователю запрещено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix deny list заданы каталоги: /etc, /dev, /sys, /proc.
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
  • Включено — включить список запрещенных каталогов (параметр usershare prefix deny list будет раскомментирован)
  • Отключено — отключить список запрещенных каталогов (параметр usershare prefix deny list будет закомментирован)
Разрешение на создание общих каталогов в системных каталогах
smb-conf-usershare-allow-list
Данная политика управляет параметром usershare prefix allow list в файле /etc/samba/usershares.conf — открывая или закрывая комментарием этот параметр.
Параметр usershare prefix allow list определяет каталоги в корневом каталоге (/), в которых пользователю разрешено создавать общие каталоги. Если абсолютный путь к общему каталогу пользователя не начинается с одного из перечисленных каталогов, то доступ к нему будет запрещен. Таким образом ограничивается список каталогов, в которых возможно создавать общие пользовательские каталоги. По умолчанию в параметре usershare prefix allow list заданы каталоги: /home, /srv, /mnt, /media, /var.
Если настроен список запрещенных каталогов usershare prefix deny list, и список разрешенных каталогов usershare prefix allow list, сначала обрабатывается список запрета, а затем уже список разрешений.
  • Включено — включить список разрешенных каталогов (параметр usershare prefix allow list будет раскомментирован)
  • Отключено — отключить список разрешенных каталогов (параметр usershare prefix allow list будет закомментирован)
Разрешение на создание пользовательских общих каталогов
smb-conf-usershare
Политика управляет возможностью создания пользовательских общих каталогов на компьютере.
Дананя политика управляет параметром usershare max shares в файле /etc/samba/usershares.conf, который устанавливает предельное число общих каталогов.
  • Включено — включить возможность создания и использования общих каталогов пользователей (usershare max shares = 100)
  • Отключено — отключить возможность создания и использования общих каталогов пользователей (usershare max shares = 0)
SSHD опции
Контроль доступа по группам к серверу OpenSSH
ssh-gssapi-auth
Эта политика включает в службе удаленного доступа OpenSSH контроль доступа по списку разрешенных групп
  • Включено — контроль доступа по группам для службы удаленного доступа OpenSSH включен
  • Отключено — контроль доступа по группам для службы удаленного доступа OpenSSH отключен
Группы для контроля доступа к серверу OpenSSH
sshd-allow-groups-list
Эта политика определяет, какие группы входят в список разрешенных для службы удаленного доступа к серверу OpenSSH
  • Все пользователи — разрешить доступ к серверу OpenSSH для групп «wheel» и «users»
  • Группы wheel и remote — разрешить доступ к серверу OpenSSH для групп администраторов и пользователей удалённого доступа («wheel» и «remote»)
  • Только wheel — разрешить доступ к серверу OpenSSH только для группы администраторов («wheel»)
  • Только remote — разрешить доступ к серверу OpenSSH только для группы «remote»
Поддержка GSSAPI-аутентификации на сервере OpenSSH
sshd-gssapi-auth
Эта политика включает поддержку аутентификации с использованием GSSAPI на сервере OpenSSH
  • Включено — поддержка GSSAPI на сервере OpenSSH включена
  • Отключено — поддержка GSSAPI на сервере OpenSSH отключена
Аутентификация по паролю на сервере OpenSSH
sshd-password-auth
Эта политика включает поддержку аутентификации по паролю на сервере OpenSSH
  • Включено — поддержка аутентификации по паролю на сервере OpenSSH включена
  • Отключено — поддержка аутентификации по паролю на сервере OpenSSH отключена
Аутентификация суперпользователя на сервере OpenSSH
sshd-permit-root-login
Эта политика определяет режимы аутентификации для суперпользователя (root) на сервере OpenSSH
  • Только без пароля — суперпользователю разрешена только беспарольная аутентификация на сервере OpenSSH
  • Разрешено — суперпользователю разрешена аутентификация на сервере OpenSSH
  • Не разрешено — суперпользователю запрещена аутентификация на сервере OpenSSH
  • По умолчанию — сбросить режим аутентификации для суперпользователя на значение по умолчанию в пакете
SSSD опции
Контроль доступа в SSSD через групповые политики
sssd-ad-gpo-access-control
Эта политика определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
  • Принудительный режим — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
  • Разрешающий режим — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить как срабатывают новые правила
  • Отключить — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
  • По умолчанию — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорирование политик при недоступности GPT
sssd-ad-gpo-ignore-unreadable
Эта настройка определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
  • Включить — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • Отключить — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • По умолчанию — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кэширование учётных данных пользователей
sssd-cache-credentials
Эта политика определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
  • Включить — сохранение в локальном кэше SSSD учётных данных пользователей включено
  • Отключить — сохранение в локальном кэше SSSD учётных данных пользователей отключено
  • По умолчанию — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Режим привилегий службы SSSD
sssd-drop-privileges
Эта политика позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
  • Привилегированный — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • Непривилегированный — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • По умолчанию — режим привилегий службы SSSD задан по умолчанию в пакете
Обновление DNS-записей прямой зоны
sssd-dyndns-update
Эта политика позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  • Включить — автоматическое обновление DNS-записи клиента через SSSD включено
  • Отключить — автоматическое обновление DNS-записи клиента через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
Обновление DNS-записей обратной зоны
sssd-dyndns-update-ptr
Данная политика определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG). Эта политика работает только если включено «Обновление DNS-записей прямой зоны»
  • Включить — автоматическое обновление DNS-записи обратной зоны через SSSD включено
  • Отключить — автоматическое обновление DNS-записи обратной зоны через SSSD отключено
  • По умолчанию — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете

Таблица 10.4. Категория «Сетевые приложения»

Политика
Control
Описание
Режимы
Разрешение на использование /usr/bin/mtr
mtr
Разрешение на использование сетевого инструмента /usr/bin/mtr
  • Любой пользователь — любой пользователь может выполнить /usr/bin/mtr
  • Группа netadmin — только члены группы «netadmin» могут выполнять /usr/bin/mtr
  • Только root — только суперпользователь (root) может выполнить /usr/bin/mtr
Разрешения для /usr/bin/ping
ping
Эта политика определяет разрешения для /usr/bin/ping
  • Любой пользователь — любой пользователь может запускать /usr/bin/ping
  • Группа netadmin — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping
  • Только root — только суперпользователь (root) может запускать /usr/bin/ping
  • Любой пользователь (в контейнерах) — любой пользователь может запускать /usr/bin/ping (в контейнерах)
  • Группа netadmin (в контейнерах) — пользователям из группы «netadmin» разрешено запускать /usr/bin/ping (в контейнерах)
Разрешения для /usr/sbin/pppd
ppp
Эта политика определяет разрешения для /usr/sbin/pppd
  • Только root — только суперпользователю (root) разрешено запускать /usr/sbin/pppd
  • Традиционный — любой пользователь имеет право запустить /usr/sbin/pppd без повышения привилегий
  • Группа uucp — пользователям из группы «uucp» имеют право запускать /usr/sbin/pppd с правами суперпользователя
  • Любой пользователь — любой пользователь имеет право запускать /usr/sbin/pppd с правами суперпользователя
Разрешения для wireshark-capture (dumpcap)
wireshark-capture
Эта политика определяет функциональные возможности (режимы) разрешения для захвата wireshark (/usr/bin/dumpcap)
  • Любой пользователь — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика включен
  • Любой пользователь, без захвата трафика — любой пользователь имеет право запустить /usr/bin/dumpcap, захват трафика отключен
  • Группа netadmin — пользователям из группы «netadmin» имеют право запускать /usr/bin/dumpcap
  • Только root — только суперпользователь (root) может запускать /usr/bin/dumpcap

Таблица 10.5. Категория «Приложения для CD/DVD»

Политика
Control
Описание
Режимы
Разрешение на использование /usr/bin/dvd-ram-control
dvd-ram-control
Эта политика определяет права доступа к /usr/bin/dvd-ram-control
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd-ram-control
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd-ram-control
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-booktype
dvd+rw-booktype
Эта политика определяет права доступа к /usr/bin/dvd+rw-booktype
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-booktype
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-booktype
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-format
dvd+rw-format
Эта политика определяет права доступа к /usr/bin/dvd+rw-format
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-format
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-format
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/dvd+rw-mediainfo
dvd+rw-mediainfo
Эта политика определяет права доступа к /usr/bin/dvd+rw-mediainfo
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/dvd+rw-mediainfo
  • Только root — только суперпользователь (root) может выполнять /usr/bin/dvd+rw-mediainfo
  • Режим совместимости — режим совместимости, не должен использоваться
Разрешения на использование /usr/bin/growisofs
growisofs
Эта политика определяет права на использование инструмента /usr/bin/growisofs
  • Только cdwriter — только члены группы «cdwriter» могут выполнять /usr/bin/growisofs
  • Только root — только суперпользователь (root) может выполнять /usr/bin/growisofs
  • Режим совместимости — режим совместимости, не должен использоваться

Таблица 10.6. Категория «Монтирование»

Политика
Control
Описание
Режимы
Доступ к инструментам FUSE
fusermount
Эта политика определяет права доступа для монтирования файловой системы FUSE (выполнение программ /usr/bin/fusermount и /usr/bin/fusermount3)
  • Любой пользователь — любой пользователь может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
  • Только fuse — только члены группы «fuse» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только wheel — только члены группы «wheel» могут выполнять /usr/bin/fusermount и /usr/bin/fusermount3
  • Только root — только суперпользователь (root) может выполнить /usr/bin/fusermount и /usr/bin/fusermount3
Разрешения для /bin/mount и /bin/umount
mount
Эта политика определяет разрешения для /bin/mount и /bin/umount
  • Любой пользователь — любому пользователю разрешено запускать /bin/mount и /bin/umount
  • Группа wheel — пользователям из группы «wheel» разрешено запускать /bin/mount и /bin/umount
  • Непривилегированный пользователь — любой пользователь может запускать /bin/mount и /bin/umount для непривилегированных действий (не от имени root)
  • Только root — только суперпользователь (root) может запускать /bin/mount и /bin/umount
Разрешения для /sbin/mount.nfs
nfsmount
Эта политика определяет разрешения для /sbin/mount.nfs
  • Любой пользователь — любому пользователю разрешено запускать /sbin/mount.nfs
  • Только wheel — пользователям из группы «wheel» разрешено запускать /sbin/mount.nfs
  • Только root — только суперпользователю (root) может запускать /sbin/mount.nfs
Правила подключения USB-накопителей
udisks2
Эта политика определяет правила подключения USB-накопителей
  • По умолчанию — подключить накопитель индивидуально (/run/media/$user/) для каждого пользователя
  • Общий — подключить накопитель к общедоступной точке (/media/)

Таблица 10.7. Категория «Виртуализация»

Политика
Control
Описание
Режимы
Разрешения для VirtualBox
virtualbox
Эта политика определяет разрешения для VirtualBox
  • Любой пользователь — любому пользователю разрешено использовать VirtualBox
  • Группа vboxusers — пользователям из группы «vboxusers» разрешено использовать VirtualBox
  • Только root — только суперпользователю (root) разрешено использовать VirtualBox

Таблица 10.8. Категория «Графическая подсистема»

Политика
Control
Описание
Режимы
Cписок пользователей в greeter (LightDM)
lightdm-greeter-hide-users
Эта политика определяет, будет ли показан список всех пользователей при входе в систему с помощью LightDM (в greeter — на экране приветствия/входа в систему LightDM) или нет
  • Показать — показать список доступных пользователей в greeter
  • Скрыть — не перечислять всех пользователей в greeter
Стандартные каталоги в home
xdg-user-dirs
Эта политика определяет, работает ли функция стандартных каталогов (Документы, Загрузки, Изображения и т.д.) xdg-user-dirs в домашнем каталоге (home) пользователя
  • Отключено — функция сохранения списка пользовательских каталогов отключена
  • Группа vboxusers — функция сохранения списка пользовательских каталогов включена
Разрешения для Xorg
xorg-server
Эта политика определяет разрешения для Xorg (/usr/bin/Xorg)
  • Любой пользователь — любому пользователю разрешено запускать /usr/bin/Xorg
  • Группа xgrp — пользователям группы «xgrp» разрешено запускать /usr/bin/Xorg
  • Только root — только суперпользователь (root) может запускать /usr/bin/Xorg