Групповые политики/Polkit: различия между версиями
| Строка 95: | Строка 95: | ||
== Правила Polkit == | == Правила Polkit == | ||
=== | === Ограничения для работы с токенами и смарт-картами === | ||
{| class="wikitable" | {| class="wikitable" | ||
! Политика | ! Политика | ||
| Строка 101: | Строка 101: | ||
! Правило Polkitd для демона pcsc-lite | ! Правило Polkitd для демона pcsc-lite | ||
|- | |- | ||
| | | Ограничение возможности доступа к демону PC/SC | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами. | ||
| org.debian.pcsc-lite.access_pcsc | | org.debian.pcsc-lite.access_pcsc | ||
|- | |- | ||
| | | Ограничение возможности доступа к смарт-картам | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности доступа к смарт-картам. | ||
| org.debian.pcsc-lite.access_card | | org.debian.pcsc-lite.access_card | ||
|} | |} | ||
=== | === Ограничения NetworkManager === | ||
{| class="wikitable" | {| class="wikitable" | ||
! Политика | ! Политика | ||
| Строка 117: | Строка 117: | ||
! style="width: 50%" | Примеры | ! style="width: 50%" | Примеры | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности включения или отключения сети | ||
| Политика управляет | | Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации. | ||
| enable-disable-network | | enable-disable-network | ||
| | | | ||
| Строка 137: | Строка 137: | ||
[[Файл:NetworkManager-enable-disable-network-no.png|150px|frameless|Пользователю запрещено включать/отключать сеть]] | [[Файл:NetworkManager-enable-disable-network-no.png|150px|frameless|Пользователю запрещено включать/отключать сеть]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности включения или отключения статистики | ||
| Политика управляет | | Политика управляет ограничением возможности включения или отключения счётчика статистики устройства. | ||
| enable-disable-statistics | | enable-disable-statistics | ||
| | | | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности включения или отключения устройств Wi-Fi | ||
| Данная политика | | Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi. | ||
| enable-disable-wifi | | enable-disable-wifi | ||
| | | | ||
| Строка 158: | Строка 158: | ||
[[Файл:NetworkManager-enable-disable-wifi-no.png|150px|frameless|Пользователю запрещено включать/отключать сеть Wi-Fi]] | [[Файл:NetworkManager-enable-disable-wifi-no.png|150px|frameless|Пользователю запрещено включать/отключать сеть Wi-Fi]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности включения или отключения устройств WiMAX | ||
| Данная политика | | Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX. | ||
| enable-disable-wimax | | enable-disable-wimax | ||
| | | | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности включения или отключения WWAN-устройств | ||
| Данная политика | | Данная политика управляет ограничением возможности включения или отключения WWAN-устройств. | ||
| enable-disable-wwan | | enable-disable-wwan | ||
| | | | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения общих настроек DNS | ||
| Политика управляет | | Политика управляет ограничением возможности изменений общей конфигурации DNS. | ||
| settings.modify.global-dns | | settings.modify.global-dns | ||
| | | | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения персональных сетевых настроек | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности изменений личных сетевых соединений. | ||
| settings.modify.own | | settings.modify.own | ||
| | | | ||
| Строка 189: | Строка 189: | ||
[[Файл:NetworkManager-settings-modify-own-auth-admin-02.png|150px|frameless|Запрос пароля администратора при изменении персональных сетевых настроек в консоли]] | [[Файл:NetworkManager-settings-modify-own-auth-admin-02.png|150px|frameless|Запрос пароля администратора при изменении персональных сетевых настроек в консоли]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения постоянного имени хоста | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности изменения постоянного имени хоста (hostname) системы. | ||
| settings.modify.hostname | | settings.modify.hostname | ||
| | | | ||
| Строка 197: | Строка 197: | ||
[[Файл:NetworkManager-settings-modify-hostname-auth-self.png|150px|frameless|Запрос пароля текущего пользователя при попытке изменения hostname системы]] | [[Файл:NetworkManager-settings-modify-hostname-auth-self.png|150px|frameless|Запрос пароля текущего пользователя при попытке изменения hostname системы]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения сетевых подключений для всех пользователей | ||
| Политика управляет | | Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей. | ||
| settings.modify.system | | settings.modify.system | ||
| | | | ||
| Строка 213: | Строка 213: | ||
[[Файл:NetworkManager-settings-modify-system-no.png|150px|frameless|Пользователю запрещено изменять сетевые настройки для всех пользователей]] | [[Файл:NetworkManager-settings-modify-system-no.png|150px|frameless|Пользователю запрещено изменять сетевые настройки для всех пользователей]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения системных настроек для сети | ||
| Политика управляет | | Политика управляет ограничением возможности изменения системных сетевых настроек. | ||
| network-control | | network-control | ||
| | | | ||
| Строка 233: | Строка 233: | ||
[[Файл:NetworkManager-network-control-no.png|150px|frameless|Пользователю запрещено включать/отключать сетевой интерфейс]] | [[Файл:NetworkManager-network-control-no.png|150px|frameless|Пользователю запрещено включать/отключать сетевой интерфейс]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности изменения состояния сна NetworkManager | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы). | ||
| sleep-wake | | sleep-wake | ||
| | | Примечание. В спящем состоянии все интерфейсы, которыми управляет NM, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NM не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы. | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке | ||
| Политика управляет | | Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней. | ||
| checkpoint-rollback | | checkpoint-rollback | ||
| | | | ||
| Строка 250: | Строка 250: | ||
[[Файл:NetworkManager-checkpoint-rollback-auth-admin.png|150px|frameless|Запрос пароля администратора при попытке создания контрольной точки]] | [[Файл:NetworkManager-checkpoint-rollback-auth-admin.png|150px|frameless|Запрос пароля администратора при попытке создания контрольной точки]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности перезагрузки NetworkManager | ||
| Политика управляет | | Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager. | ||
| reload | | reload | ||
| | | | ||
| Строка 262: | Строка 262: | ||
[[Файл:NetworkManager-reload-auth-admin.png|150px|frameless|Запрос пароля администратора при попытке перезагрузки конфигурации NetworkManager]] | [[Файл:NetworkManager-reload-auth-admin.png|150px|frameless|Запрос пароля администратора при попытке перезагрузки конфигурации NetworkManager]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности проверки подключения сети | ||
| Политика управляет | | Политика управляет ограничением возможности включениz или отключениz проверки подключения к сети. | ||
| enable-disable-connectivity-check | | enable-disable-connectivity-check | ||
| | | | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| Разрешение сканирования Wi-Fi сетей | | Разрешение сканирования Wi-Fi сетей | ||
| Данная политика | | Данная политика управляет ограничением возможности сканирования Wi-Fi сетей. | ||
| wifi.scan | | wifi.scan | ||
| | | | ||
| Строка 277: | Строка 277: | ||
{{note|Необходимо настраивать эту политику с осторожностью, т.к. апплет NetworkManager автоматически сканирует сети Wi-Fi и пароль будет запрашиваться постоянно.}} | {{note|Необходимо настраивать эту политику с осторожностью, т.к. апплет NetworkManager автоматически сканирует сети Wi-Fi и пароль будет запрашиваться постоянно.}} | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности совместных подключений через защищённую сеть Wi-Fi | ||
| Политика управляет | | Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi. | ||
| wifi.share.protected | | wifi.share.protected | ||
| | | | ||
| Строка 289: | Строка 289: | ||
[[Файл:NetworkManager-wifi-share-protected-auth-user-02.png|150px|frameless|Запрос пароля текущего пользователя при создании защищенной точки доступа]] | [[Файл:NetworkManager-wifi-share-protected-auth-user-02.png|150px|frameless|Запрос пароля текущего пользователя при создании защищенной точки доступа]] | ||
|-style="vertical-align:top;" | |-style="vertical-align:top;" | ||
| | | Ограничение возможности совместных подключений через открытую сеть Wi-Fi | ||
| Политика управляет | | Политика управляет ограничением возможности совместного подключения через открытую сеть Wi-Fi. | ||
| wifi.share.open | | wifi.share.open | ||
| | | | ||
| Строка 302: | Строка 302: | ||
|} | |} | ||
Ограничения NetworkManager для текущего пользователя можно просмотреть, выполнив команду: | |||
<syntaxhighlight lang="bash">$ nmcli general permissions | <syntaxhighlight lang="bash">$ nmcli general permissions | ||
PERMISSION VALUE | PERMISSION VALUE | ||
| Строка 324: | Строка 324: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
=== | === Ограничения ModemManager === | ||
{| class="wikitable" | |||
! Политика | |||
! Описание | |||
! Правило Polkitd для демона ModemManager (org.freedesktop.ModemManager1) | |||
|- | |||
| Ограничение возможности блокировки и управления мобильным широкополосным устройством | |||
| Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства. | |||
| Device.Control | |||
|- | |||
| Ограничение возможности добавления, изменения или удаления контактов устройства | |||
| Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа. | |||
| Contacts | |||
|- | |||
| Ограничение возможности запросов и использования сетевой информации и услуг | |||
| Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы. | |||
| USSD | |||
|- | |||
| Ограничение возможности запросов информации о сетевом времени и часовом поясе | |||
| Политика ограничивает возможность запрашивать информацию о сетевом времени. | |||
| Time | |||
|- | |||
| Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений | |||
| Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства. | |||
| Messaging | |||
|- | |||
| Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова | |||
| Политика ограничивает возможность голосовых вызовов. | |||
| Voice | |||
|- | |||
| Ограничение возможности просмотра информации о географическом положении и позиционировании | |||
| Политика ограничивает возможность просмотра информации о географическом положении. | |||
| Location | |||
|- | |||
| Ограничение возможности управления демоном Modem Manager | |||
| Политика ограничивает возможность управления диспетчером модемов. | |||
| Control | |||
|- | |||
| Ограничение возможности управления прошивкой мобильного широкополосного устройства | |||
| Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства. | |||
| Firmware | |||
|} | |||
=== Ограничения PackageKit === | |||
{| class="wikitable" | {| class="wikitable" | ||
! Политика | ! Политика | ||
| Строка 330: | Строка 373: | ||
! Правило Polkitd для демона PackageKit | ! Правило Polkitd для демона PackageKit | ||
|- | |- | ||
| | | Ограничение возможности восстановления пакетов в системе | ||
| Данная политика | | Данная политика ограничивает пользователям права на восстановление системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.repair-system | | org.freedesktop.packagekit.repair-system | ||
|- | |- | ||
| | | Ограничение возможности добавления ключа электронной подписи | ||
| Данная политика | | Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.system-trust-signing-key | | org.freedesktop.packagekit.system-trust-signing-key | ||
|- | |- | ||
| Разрешение на обновление пакетов | | Разрешение на обновление пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.system-update | | org.freedesktop.packagekit.system-update | ||
|- | |- | ||
| | | Ограничение возможности обновления системных источников пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.system-sources-refresh | | org.freedesktop.packagekit.system-sources-refresh | ||
|- | |- | ||
| | | Ограничение возможности переустановки пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.package-reinstall | | org.freedesktop.packagekit.package-reinstall | ||
|- | |- | ||
| | | Ограничение возможности принятия лицензионного соглашения | ||
| Данная политика | | Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.package-eula-accept | | org.freedesktop.packagekit.package-eula-accept | ||
|- | |- | ||
| | | Ограничение возможности редактирования источников пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.system-sources-configure | | org.freedesktop.packagekit.system-sources-configure | ||
|- | |- | ||
| | | Ограничение возможности удаления пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.package-remove | | org.freedesktop.packagekit.package-remove | ||
|- | |- | ||
| | | Ограничение возможности установки пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.package-install | | org.freedesktop.packagekit.package-install | ||
|- | |- | ||
| | | Ограничение возможности установки непроверенных пакетов | ||
| Данная политика | | Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit. | ||
| org.freedesktop.packagekit.package-install-untrusted | | org.freedesktop.packagekit.package-install-untrusted | ||
|} | |} | ||
=== | === Ограничения Udisks2 === | ||
{| class="wikitable" | {| class="wikitable" | ||
| Строка 378: | Строка 421: | ||
! Правило Polkitd для демона udisk2 | ! Правило Polkitd для демона udisk2 | ||
|- | |- | ||
| Общая политика монтирования | | Общая политика ограничения возможности монтирования | ||
| Данная политика | | Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах. | ||
| | | | ||
org.freedesktop.udisks2.filesystem-mount | org.freedesktop.udisks2.filesystem-mount | ||
| Строка 385: | Строка 428: | ||
org.freedesktop.udisks2.filesystem-mount-system | org.freedesktop.udisks2.filesystem-mount-system | ||
|- | |- | ||
| | | Ограничение возможности монтирования файловой системы | ||
| Данная политика управляет | | Данная политика управляет ограничением возможности монтирования файловой системы устройства. | ||
| org.freedesktop.udisks2.filesystem-mount | | org.freedesktop.udisks2.filesystem-mount | ||
|- | |- | ||
| | | Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах | ||
| Данная политика | | Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). | ||
| org.freedesktop.udisks2.filesystem-mount-other-seat | | org.freedesktop.udisks2.filesystem-mount-other-seat | ||
|- | |- | ||
| | | Ограничение возможности монтирования системных разделов | ||
| | | Данная политика ограничивает возможность монтирования системных разделов. | ||
(Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.) | (Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.) | ||
| org.freedesktop.udisks2.filesystem-mount-system | | org.freedesktop.udisks2.filesystem-mount-system | ||
Версия от 15:59, 17 января 2024
Описание
Через групповые политики реализовано управление настройками службы Polkit (PolicyKit).
В настоящий момент реализованы следующие настройки:
- «Ограничения Udisks2» — формирование правил PolKit для монтирования файловых систем (демон udisk2);
- «Ограничения PackageKit» — формирование правил PolKit для установки, удаления, обновления пакетов;
- «Ограничения NetworkManager» — формирование правил PolKit для операций с сетевыми подключениями и настройкой сетевых интерфейсов;
- «Ограничения ModemManager» — формирование правил PolKit для операций с ModemManager (взаимодействие с модемом или мобильным телефоном);
- «Ограничения для работы с токенами и смарт-картами» — формирование правил PolKit для работы с токенами и смарт-картами.
Правила для пользовательской политики обрабатываются до правил для машинной политики. Для машинной политики создается файл правил 49-alt_group_policy_permissions.rules, для пользовательской политики — 48-lt_group_policy_permissions_user.<USERNAME>.rules. У машинных политик имеются блокировки (отметка «Блокировать»), при установке которых машинные политики становятся приоритетнее пользовательских (создается файл правил 47-alt_group_policy_permissions.rules).
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, куда входят машины, для которых создаётся политика.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{C5CBB0CF-07E7-41E4-A5AC-FCA0B0C82672}"
где dc1.test.alt — имя контроллера домена, а "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}" — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть несколько разделов:
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик:
Шаг 6. При выборе политики, откроется диалоговое окно настройки соответствующей политики:
Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключено»/«Не сконфигурировано» ограничения определяются системными параметрами.
Если выбрать параметр «Включено», в разделе «Опции» в выпадающем списке можно будет выбрать вариант ограничения:
Если выбран параметр «Включено», для каждой из этих политик доступны следующие разрешения:
- «No» — установить ограничение с запретом действия (пользователю не разрешено выполнять действие);
- «Yes» — снять ограничение (пользователь может выполнять действие без какой-либо аутентификации);
- «Auth_self» — пользователь должен ввести свой пароль для аутентификации. Обратите внимание, этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение «Auth_admin»;
- «Auth_admin» — пользователь должен ввести пароль администратора при каждом запросе. Требуется аутентификация пользователя с правами администратора;
- «Auth_self_keep» — подобно «Auth_self», но авторизация сохраняется в течение короткого периода времени (например, пять минут). Обратите внимание, этого уровня ограничения недостаточно для большинства применений в многопользовательских системах, обычно рекомендуется ограничение «Auth_admin_keep»;
- «Auth_admin_keep» — аналогично «Auth_admin», но авторизация сохраняется в течение короткого периода времени (например, пять минут).
Примечание: Администратор — в Альт определён в правиле /etc/polkit-1/rules.d/50-default.rules:
По умолчанию запрашивается пароль пользователя, находящегося в группе wheel.
polkit.addAdminRule(function(action, subject) {
return ["unix-group:wheel"];
});
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU.
Шаг 3. В контекстном меню GPO выбрать пункт «Изменить». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Правила Polkit». Здесь есть несколько разделов:
Шаг 5. При выборе раздела, в правом окне редактора отобразится список политик и их состояние:
Шаг 6. Дважды щелкнуть левой кнопкой мыши на политике, откроется диалоговое окно настройки политики:
Можно не задавать настройку политики, включить или отключить. Если политика находится в состоянии «Отключить»/«Не задано» разрешения определяются системными параметрами.
Если выбрать параметр «Включить», в разделе «Параметры» в выпадающем списке можно будет выбрать вариант ограничения:
Правила Polkit
Ограничения для работы с токенами и смарт-картами
| Политика | Описание | Правило Polkitd для демона pcsc-lite |
|---|---|---|
| Ограничение возможности доступа к демону PC/SC | Данная политика управляет ограничением возможности доступа к демону PC/SC и регулирует работу с токенами. | org.debian.pcsc-lite.access_pcsc |
| Ограничение возможности доступа к смарт-картам | Данная политика управляет ограничением возможности доступа к смарт-картам. | org.debian.pcsc-lite.access_card |
Ограничения NetworkManager
| Политика | Описание | Правило Polkitd для демона NetworkManager (org.freedesktop.NetworkManager) | Примеры |
|---|---|---|---|
| Ограничение возможности включения или отключения сети | Политика управляет ограничением возможности включения или отключения сетевого взаимодействия системы. Если сетевое взаимодействие отключено, все управляемые интерфейсы отсоединяются и деактивируются. Если сетевое взаимодействие включено, все управляемые интерфейсы доступны для активации. | enable-disable-network |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке включения/отключения сети будет запрошен пароль текущего пользователя:
Запрос пароля пользователя при включении/отключении сети в консоли:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке включения/отключения сети будет запрошен пароль администратора:
Если эта политика находится в состоянии «Включено» и настроено разрешение «No», пользователю запрещено включать/отключать сеть:
|
| Ограничение возможности включения или отключения статистики | Политика управляет ограничением возможности включения или отключения счётчика статистики устройства. | enable-disable-statistics | |
| Ограничение возможности включения или отключения устройств Wi-Fi | Данная политика управляет ограничением возможности включения или отключения устройств Wi-Fi. | enable-disable-wifi |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке включения/отключения сети Wi-Fi будет запрошен пароль текущего пользователя:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке включения/отключения сети Wi-Fi будет запрошен пароль администратора:
Если эта политика находится в состоянии «Включено» и настроено разрешение «No», пользователю запрещено включать/отключать сеть Wi-Fi:
|
| Ограничение возможности включения или отключения устройств WiMAX | Данная политика управляет ограничением возможности включения или отключения мобильных широкополосных устройств WiMAX. | enable-disable-wimax | |
| Ограничение возможности включения или отключения WWAN-устройств | Данная политика управляет ограничением возможности включения или отключения WWAN-устройств. | enable-disable-wwan | |
| Ограничение возможности изменения общих настроек DNS | Политика управляет ограничением возможности изменений общей конфигурации DNS. | settings.modify.global-dns | |
| Ограничение возможности изменения персональных сетевых настроек | Данная политика управляет ограничением возможности изменений личных сетевых соединений. | settings.modify.own |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке изменения персональных сетевых настроек (например, при подключении к сети Wi-Fi) будет запрошен пароль текущего пользователя:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке изменения персональных сетевых настроек будет запрошен пароль администратора:
Запрос пароля администратора при изменении персональных сетевых настроек в консоли:
|
| Ограничение возможности изменения постоянного имени хоста | Данная политика управляет ограничением возможности изменения постоянного имени хоста (hostname) системы. | settings.modify.hostname |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке изменения hostname системы будет запрошен пароль текущего пользователя:
|
| Ограничение возможности изменения сетевых подключений для всех пользователей | Политика управляет ограничением возможности изменения системных сетевых настроек для всех пользователей. | settings.modify.system |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке изменения сетевых настроек для всех пользователей (например, изменении IP-адреса) будет запрошен пароль текущего пользователя:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке изменения сетевых настроек для всех пользователей будет запрошен пароль администратора:
Если эта политика находится в состоянии «Включено» и настроено разрешение «No», пользователю запрещено изменять сетевые настройки для всех пользователей:
|
| Ограничение возможности изменения системных настроек для сети | Политика управляет ограничением возможности изменения системных сетевых настроек. | network-control |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке включения/отключения сетевого интерфейса будет запрошен пароль текущего пользователя:
Запрос пароля пользователя при включении/отключении сетевого интерфейса в консоли:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке изменения сетевых настроек для всех пользователей будет запрошен пароль администратора:
Если эта политика находится в состоянии «Включено» и настроено разрешение «No», пользователю запрещено изменять сетевые настройки для всех пользователей:
|
| Ограничение возможности изменения состояния сна NetworkManager | Данная политика управляет ограничением возможности перевода NetworkManager в спящий режим или пробуждения из спящего режима (должна использоваться только для управления питанием системы). | sleep-wake | Примечание. В спящем состоянии все интерфейсы, которыми управляет NM, деактивированы. В бодрствующем состоянии устройства доступны для активации. Обращение к состоянию сна NM не вызывается пользователем напрямую; функция предназначена для отслеживания приостановки/возобновления работы системы. |
| Ограничение возможности отката конфигурации сетевых интерфейсов к контрольной точке | Политика управляет ограничением возможности создания контрольной точки сетевых интерфейсов или отката к ней. | checkpoint-rollback |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_self», при попытке создания контрольной точки будет запрошен пароль текущего пользователя:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке создания контрольной точки будет запрошен пароль администратора:
|
| Ограничение возможности перезагрузки NetworkManager | Политика управляет ограничением возможности перезагрузки конфигурации NetworkManager. | reload |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_user», при попытке перезагрузки конфигурации NetworkManager будет запрошен пароль текущего пользователя:
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при попытке перезагрузки конфигурации NetworkManager будет запрошен пароль администратора:
|
| Ограничение возможности проверки подключения сети | Политика управляет ограничением возможности включениz или отключениz проверки подключения к сети. | enable-disable-connectivity-check | |
| Разрешение сканирования Wi-Fi сетей | Данная политика управляет ограничением возможности сканирования Wi-Fi сетей. | wifi.scan |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при сканировании Wi-Fi сетей будет запрошен пароль администратора:
Примечание: Необходимо настраивать эту политику с осторожностью, т.к. апплет NetworkManager автоматически сканирует сети Wi-Fi и пароль будет запрашиваться постоянно.
|
| Ограничение возможности совместных подключений через защищённую сеть Wi-Fi | Политика управляет ограничением возможности совместного подключения через защищенную сеть Wi-Fi. | wifi.share.protected |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_user», при создании защищенной точки доступа будет запрошен пароль текущего пользователя:
Создание точки доступа в консоли:
|
| Ограничение возможности совместных подключений через открытую сеть Wi-Fi | Политика управляет ограничением возможности совместного подключения через открытую сеть Wi-Fi. | wifi.share.open |
Если эта политика находится в состоянии «Включено» и настроено разрешение «Auth_admin», при создании открытой точки доступа будет запрошен пароль администратора:
Создание точки доступа в консоли:
|
Ограничения NetworkManager для текущего пользователя можно просмотреть, выполнив команду:
$ nmcli general permissions
PERMISSION VALUE
org.freedesktop.NetworkManager.checkpoint-rollback auth
org.freedesktop.NetworkManager.enable-disable-connectivity-check нет
org.freedesktop.NetworkManager.enable-disable-network auth
org.freedesktop.NetworkManager.enable-disable-statistics auth
org.freedesktop.NetworkManager.enable-disable-wifi да
org.freedesktop.NetworkManager.enable-disable-wimax да
org.freedesktop.NetworkManager.enable-disable-wwan да
org.freedesktop.NetworkManager.network-control да
org.freedesktop.NetworkManager.reload auth
org.freedesktop.NetworkManager.settings.modify.global-dns нет
org.freedesktop.NetworkManager.settings.modify.hostname auth
org.freedesktop.NetworkManager.settings.modify.own auth
org.freedesktop.NetworkManager.settings.modify.system да
org.freedesktop.NetworkManager.sleep-wake да
org.freedesktop.NetworkManager.wifi.scan да
org.freedesktop.NetworkManager.wifi.share.open да
org.freedesktop.NetworkManager.wifi.share.protected да
Ограничения ModemManager
| Политика | Описание | Правило Polkitd для демона ModemManager (org.freedesktop.ModemManager1) |
|---|---|---|
| Ограничение возможности блокировки и управления мобильным широкополосным устройством | Политика ограничивает возможность изменения конфигурации мобильного широкополосного устройства. | Device.Control |
| Ограничение возможности добавления, изменения или удаления контактов устройства | Политика управляет ограничением возможности добавления, изменения и удаления контактов мобильного широкополосного доступа. | Contacts |
| Ограничение возможности запросов и использования сетевой информации и услуг | Политика ограничивает возможность запрашивать или использовать сетевую информацию и службы. | USSD |
| Ограничение возможности запросов информации о сетевом времени и часовом поясе | Политика ограничивает возможность запрашивать информацию о сетевом времени. | Time |
| Ограничение возможности отправки, сохранения, изменения и удаления текстовых сообщений | Политика ограничивает возможность отправки или манипулирования текстовыми сообщениями устройства. | Messaging |
| Ограничение возможности приема входящих голосовых вызовов или начала исходящего голосового вызова | Политика ограничивает возможность голосовых вызовов. | Voice |
| Ограничение возможности просмотра информации о географическом положении и позиционировании | Политика ограничивает возможность просмотра информации о географическом положении. | Location |
| Ограничение возможности управления демоном Modem Manager | Политика ограничивает возможность управления диспетчером модемов. | Control |
| Ограничение возможности управления прошивкой мобильного широкополосного устройства | Политика ограничивает возможность управления микропрограммой мобильного широкополосного устройства. | Firmware |
Ограничения PackageKit
| Политика | Описание | Правило Polkitd для демона PackageKit |
|---|---|---|
| Ограничение возможности восстановления пакетов в системе | Данная политика ограничивает пользователям права на восстановление системы пакетов, если в ней возникли проблемы, например, пропали зависимости, посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.repair-system |
| Ограничение возможности добавления ключа электронной подписи | Данная политика ограничивает пользователям возможность добавления ключа подписи в список доверенных ключей системы посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-trust-signing-key |
| Разрешение на обновление пакетов | Данная политика ограничивает пользователям возможность обновления пакетов, установленных в систему, посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-update |
| Ограничение возможности обновления системных источников пакетов | Данная политика ограничивает пользователям возможность обновления системных источников пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-sources-refresh |
| Ограничение возможности переустановки пакетов | Данная политика ограничивает пользователям возможность переустановки пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-reinstall |
| Ограничение возможности принятия лицензионного соглашения | Данная политика ограничивает пользователям возможность принятия пользовательского соглашения программ посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-eula-accept |
| Ограничение возможности редактирования источников пакетов | Данная политика ограничивает пользователям возможность редактирования источников пакетов в системе посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.system-sources-configure |
| Ограничение возможности удаления пакетов | Данная политика ограничивает пользователям возможность удаления пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-remove |
| Ограничение возможности установки пакетов | Данная политика ограничивает пользователям возможность установки пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-install |
| Ограничение возможности установки непроверенных пакетов | Данная политика ограничивает пользователям возможность установки ненадёжных или непроверенных пакетов посредством интерфейса управления пакетами PackageKit. | org.freedesktop.packagekit.package-install-untrusted |
Ограничения Udisks2
| Политика | Описание | Правило Polkitd для демона udisk2 |
|---|---|---|
| Общая политика ограничения возможности монтирования | Данная политика ограничивает возможность монтирования съёмных запоминающих устройств, монтирования системных разделов, монтирования съёмных запоминающих устройств в удалённых сеансах. |
org.freedesktop.udisks2.filesystem-mount org.freedesktop.udisks2.filesystem-mount-other-seat org.freedesktop.udisks2.filesystem-mount-system |
| Ограничение возможности монтирования файловой системы | Данная политика управляет ограничением возможности монтирования файловой системы устройства. | org.freedesktop.udisks2.filesystem-mount |
| Ограничение возможности монтирования съёмных запоминающих устройств в удалённых сеансах | Данная политика ограничивает возможность монтирования съёмных запоминающих устройств с устройства, подключенного к удалённому рабочему месту (например, на другом компьютере или удаленной сессии). | org.freedesktop.udisks2.filesystem-mount-other-seat |
| Ограничение возможности монтирования системных разделов | Данная политика ограничивает возможность монтирования системных разделов.
(Системное устройство хранения информации — это неизвлекаемое устройство. Для таких устройств переменная HintSystem установлена в значение "True". Жёсткий диск с установленной ОС относится к системным устройствам.) |
org.freedesktop.udisks2.filesystem-mount-system |
Файлы настроек политики
Все настройки политики хранятся в:
- {GUID GPT}/Machine/Registry.pol
- {GUID GPT}/User/Registry.pol
Пример Registry.pol:
PReg[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.udisks2.filesystem-mount;;;][Software\BaseALT\Policies\Polkit;org.freedesktop.udisks2.filesystem-mount;;;No][Software\BaseALT\Policies\Polkit;org.freedesktop.packagekit.system-update;;;Auth_self]
[Software\BaseALT\Policies\PolkitLocks;org.freedesktop.NetworkManager.network-control;;;]
[Software\BaseALT\Policies\Polkit;org.freedesktop.NetworkManager.network-control;;Yes]