polkit: désactiver tous les utilisateurs sauf ceux de la roue de groupe?
Est-il possible de faire ce qui suit en utilisant 1 fichier polkit .pkla?
- Désactivez l'utilisation de polkit pour tous les utilisateurs, à l'exception de ceux du groupe de roues.
- Les utilisateurs du groupe Wheel doivent fournir le mot de passe root lors de l'utilisation de polkit.
/etc/polkit-1/localauthority/50-local.d/99-wheel-only.pkla
[désactiver tous les utilisateurs sauf le groupe de roues] Identité = groupe-unix: roue Action = * ResultAny = ??? ResultInactive = ??? ResultActive = ???
Le fichier suivant fonctionne, mais vous devez fournir tous les utilisateurs de/etc/group:
[Désactiver tous les utilisateurs sauf ceux du groupe wheel: root et myuser] Identity = utilisateur-unix: démon; utilisateur-unix: bin; utilisateur-unix: sys; utilisateur-unix: adm; utilisateur-unix: tty; unix-user: disque; unix-utilisateur: lp; unix-utilisateur: mail; unix-utilisateur: nouvelles; unix-utilisateur: uucp; unix-utilisateur: man; unix-utilisateur: proxy; unix-utilisateur: kmem; utilisateur unix: dialout; utilisateur unix: fax; utilisateur unix: voix; utilisateur unix: cdrom; utilisateur unix: disquette; utilisateur unix: bande; utilisateur unix: sudo; utilisateur unix: audio; unix- utilisateur: dip; utilisateur unix: www-data; utilisateur unix: sauvegarde; utilisateur-unix: opérateur; utilisateur-unix: liste; utilisateur-unix: irc; utilisateur-unix: src; utilisateur unix: gnats; unix- utilisateur: shadow; utilisateur unix: utmp; utilisateur unix: vidéo; utilisateur unix: sasl; utilisateur unix: plugdev; utilisateur unix: personnel; utilisateur unix: jeux; utilisateur unix: utilisateurs; utilisateur unix: nogroup; utilisateur-unix: libuuid; utilisateur-unix: crontab; utilisateur-unix: messagebus; utilisateur-unix: Debian-exim; utilisateur-unix: mlocate; utilisateur-unix: avahi; utilisateur-unix: netdev; utilisateur-unix: bluetooth; utilisateur-unix: lpadmin; utilisateur-unix: ssl-cert; utilisateur-unix: fusible; utilisateur-unix: utempter; utilisateur-unix: Debian-gdm; utilisateur-unix: scanner; utilisateur-unix: saned; unix- utilisateur: i2c; utilisateur-unix: haldaemon; utilisateur-unix: po werdev Action = * ResultAny = no ResultInactive = no ResultActive = no
Je voudrais essayer ce qui suit .pkla
[First disable all users]
Identity=unix-user:*
Action=*
ResultActive=no
ResultInactive=no
ResultAny=no
[Then enable wheel group]
Identity=unix-group:wheel
Action=*
ResultActive=auth_admin
ResultInactive=no
ResultAny=no
en conjonction avec une modification de la AdminIdentities, configurée dans un fichier sous /etc/polkit-1/localauthority.conf.d/.
J'ai les deux fichiers suivants
50-localauthority.conf
[Configuration]
AdminIdentities=unix-user:0
et
51-ubuntu-admin.conf
[Configuration]
AdminIdentities=unix-group:Sudo;unix-group:admin
Le second remplace le premier et oblige à utiliser le groupe Sudo (et l'ancien groupe admin). Supprimez le deuxième fichier et vous vous retrouvez avec une demande de mot de passe root.