Wie kann ich verhindern, dass Benutzer ohne Rootberechtigung Herunterfahren oder Neustarts ausführen?

Question

Wie kann ich verhindern, dass Benutzer ohne Rootberechtigung Herunterfahren oder Neustarts ausführen?

5548

thomasrutter 2011-11-07 в 07:03

Angenommen, Sie haben ein System mit mehreren Sitzen für die Verwendung in einer Schule oder Bibliothek eingerichtet, sodass GDM mehrere X-Sitzungen gleichzeitig mit verschiedenen Benutzern / Tastaturen / Monitoren ausführen kann.

In Debian / Ubuntu in Gnome müssen Sie nicht standardmäßig root sein, um herunterzufahren oder neu zu starten. Dies bedeutet jedoch, dass jeder Benutzer "Neustart" oder "Herunterfahren" wählen und die anderen drei Benutzer starten kann.

Sie haben den physischen Zugriff auf den Server blockiert, sodass der Benutzer nicht einfach die Ein- oder Zurück-Taste drücken muss.

Was ist der richtige Weg, um die Funktionen "Herunterfahren" und "Neustart" zu deaktivieren, die normalen Benutzern über GDM / Gnome / den von Ihnen verwendeten Fenstermanager zur Verfügung gestellt werden?

7

Was ist, wenn sie den Stecker ziehen? wizlog vor 12 Jahren 1

@wizlog, siehe "Sie haben den physischen Zugriff auf den Server blockiert". Dies gilt auch für den Netzstecker. thomasrutter vor 12 Jahren 2

2 Antworten auf die Frage

4

2

grawity 2011-11-07 в 08:10

Beachten Sie zunächst, dass die Herunterfahren-Funktion von ConsoleKit "Einzelbenutzer" und "Mehrere Benutzer" als zwei verschiedene Situationen betrachtet : Das Herunterfahren des Systems erfordert immer eine Administratorauthentifizierung, wenn andere Benutzer angemeldet sind.

Alle derartigen Aktionen werden von PolicyKit verwaltet. Wenn Sie die Richtlinien anpassen möchten, können Sie dies wie in polkit (8) beschrieben tun /etc/polkit-1/rules.d/20-disallow-shutdown.rules:

polkit.addRule (Funktion (Aktion, Betreff) { if ((action.id == "org.freedesktop.consolekit.system.stop" || action.id == "org.freedesktop.consolekit.system.restart") && subject.isInGroup ("Benutzer") ) { Betreff zurückgeben? polkit.Result.AUTH_ADMIN: polkit.Result.NO; } });

PolicyKit 0.105 und frühere Versionen dokumentieren dies in pklocalautority (8) - /etc/polkit-1/localauthority/50-local.d/20-disallow-shutdown.pkla:

[Herunterfahren nicht zulassen] Identität = Unix-Gruppe: Benutzer Aktion = org.freedesktop.consolekit.system.stop; org.freedesktop.consolekit.system.restart ErgebnisAny = Nein ResultInactive = nein ResultActive = auth_admin

Die Actions werden in der ConsoleKit- Richtliniendatei aufgelistet oder ausgeführt pkaction.

Accepted Answer · 2014-02-13 00:17:24

pklocalautority ist veraltet
Sie benötigen systemd mit logind und polkit.

Mögliche Aktionen

pkaction # or /usr/share/polkit-1/actions/

Sie sollten sich anschauen /usr/share/polkit-1/actions/org.freedesktop.login1.policy

Regel hinzufügen

Beginnen Sie zuerst mit der Überwachung der Systemmeldungen, damit wir sehen können, ob unsere neue Regel funktioniert:

journalctl -f

Dann erstellen Sie eine Datei /etc/polkit-1/rules.d/60-noreboot_norestart.rules(in Javascript).

In dieser Datei fügen wir Logik für Aktionen zu überprüfen und erlauben usersin powerGruppe oder erfordern suGenehmigung:

polkit.addRule(function(action, subject) { if (action.id == "org.freedesktop.login1.reboot" || action.id == "org.freedesktop.login1.reboot-multiple-sessions" || action.id == "org.freedesktop.login1.power-off" || action.id == "org.freedesktop.login1.power-off-multiple-sessions") { if (subject.isInGroup("power")) { return polkit.Result.YES; } else { return polkit.Result.AUTH_ADMIN; } } });

Die Regel sollte geladen sein und funktionieren. Referenzen unten.

Wie kann ich verhindern, dass Benutzer ohne Rootberechtigung Herunterfahren oder Neustarts ausführen?

2 Antworten auf die Frage

Mögliche Aktionen

Regel hinzufügen

Verwandte Probleme