wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Вот шага 6 мы делать "от пользователя" не можем. Точнее - не будем. Ибо пользователь может потом сам переопределить, т.е. это не надежное решение. |
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
wauЯ уже не знаю как обьяснить вам. Есть пользователи ваня ира у них нет прав судо они не состоят в админ группе и вы им перекрыли права на отключение через polkit выключить или отправить в сон машину они не могут есть системный пользователь GDM изменить его настройки может только root (но зайдя от имени GDM) или тот кому дали привелегии через sudo у вани и иры этих прав нет и настройки GDM изменить они не могут. |
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Если системный пользователь ждм root, судо нет у юзеров, юзеры состоят только в одноименных юзеровских группах, то - 1. если в консоли рута скормить команды dconf и перечитать, то юзерам, как показала проверка, начхать 2. а гуишный вход сам ЖДМ руту не предлагает. Дконфову же базу конкретного юзера ждм или кто там у них за нее отвечает, создает при первом входе через гуишный ждм. Полкит не разрешает юзерам таймаутить в сон машину. ЖДМ каждому юзеру предоставлят возможность рожать свои юзерские настройки, и затем ждм, как показывают испытания, с рутовыми правами эти юзерские настройки реализует. Как и у казанная ранее аналогия с гновомы нетворкманагером. Простая причинно-следственная связь -команды выполнил, файлики создал, а юзеры при актвином ждм как могли таймаутить компьютер, так и могут. И только прибитие ждм лишает их этой возможности. Вот, спрашивают меня, в чем прелесть машинной вышивки? - отвечаю: сколь бы много вы вина в процессе не выпили, а строчка остается неизменно ровной. Так выпьем же за Инженеров! Не только за, но и вместе! Присединяйтесь к нам, графы, присоединяйтесь! |
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
wauПравильно , потому что dconf у каждого свой и рутовский на пользовательские никак не влияет. wau Для изменения настроек gdm не нужен гуешный вход от рута, я вам это уже наверно пятый раз говорю. Для их изменения надо или зайти самим gdm в консоли, или подтвердить сохранение настроек в гуе введя пароль рута или суперпользователя простой юзер это сделать не может wauGdm не предоставляет юзерам такую возможность, как и Нетворк менеджер если у вас простой юзер имеет возможность менять их настройки то он или суперпользователь и вы сами дали ему такую возможность или на эти конкретные действия есть правило polkit разрешающее это конкретное действие для Нетворк менеджера это usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy и также могут быть другие политики от других пакетов Вы же кричите Васе не выключайте свет, а потом удивляетесь почему Ира выключает я же начальник и Васе говорил да и себе то же повторил. А Ира про это не слышала и с Васей не общается и Васины приказы не выполняет |
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
"Для их изменения надо или зайти самим gdm в консоли, " - "или подтвердить сохранение настроек в гуе введя пароль рута " Он в юзерсоком аккаунте при изменении настроект засыпания рутовый пароль не спрашивает. За ненадобностью. Во всяком случае в моих экземплярах Гнома такого нет. Возможно, я сероват, только из деревни. Если так, то можно пример исчерпывающего набора команд в консоли, формирующего этот танец? И нет, не давал я обычным юзерам никаких отдельных дополнительных прав. Просто useradd. А свойства соединений они могут витель вплость до открытия пароля. И, согласитесь,термин "разрешать другим пользователям ИСПОЛЬЗОВАТЬ" не синоним "читать свойства". |
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
wauвы принципиально не читаете ни вики ни то что я вам написал vs220 wauВы точно уверены что редактируете настройки gdm а не юзера , gdm-settinds у вас чей пароль спрашивает при сохранении настроек? Покажите вывод ( состоят ли ваши юзеры в одной из этих груп) И какие есть политики полкит разрешаюшие действия простым юзнерам гляньте также что разрешено вашим юзерам в sudo
|
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
cat /etc/group grep -P 'rootadmwheelpow' - безумной длины выдача. А вот за machinectl shell gdm@ /bin/bash отдельное спасибо, не знал о такой возможности. |
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
wauесли имелась ввиду выдача то можно отфильтровать только действия которые разрешены простым юзерам без ввода админского пороля или вашего пароля
|
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Уже разумнее простыня выдачи, много нетворкманагеров, есть и такое -
|
vs220 |
|
Темы:
25
Сообщения:
8524
Участник с: 16 августа 2009
|
wau можно проверить сработало ли ваше правило disable-suspend.rules https://wiki.archlinux.org/title/Polkit#Disable_suspend_and_hibernate от юзера если юзеру разрешено то выдаст пустой выводесли не разрешено выдаст не авторизовано Not authorized и этот юзер без ввода пароля администратора не сможет отправить машину в suspend при мультисессии Так же и с остальными правилами, power-off например разрешен Если вы собираетесь делать настоящий сервер то имхо и от polkit можно было бы избавиться Ну или отключить, также для проверки можно временно - что именно полкит разрешает нежелательные действия обратно для включения
Но придется раздавать все нужные привелегии/разрешения юзерам и программам самостоятельно |