Санкции PolicyKit-1
Имя пакета программы: fly-admin-policykit-1
Версия пакета программы : 1.2.9 и выше
Условия запуска программы: вход в сессию с правами администратора
О программе
Программа позволяет просматривать, выдавать и аннулировать разрешения (санкции) на выполнение привилегированных действий путем создания и настройки политик.
Программу следует использовать для предоставления непривилегированным учетным записям доступа к привилегированным действиям, а не для ограничения прав привилегированных учетных записей. В отличие от команды sudo, программа не наделяет процесс конкретной учетной записи правами администратора, а позволяет точно контролировать, что разрешено.
Запуск
Программа запускается:
- в графическом интерфейсе:
- через меню Пуск — Параметры — Управление доступом — Санкции PolicyKit-1;
- через классическое меню Пуск — Параметры — Безопасность — Санкции PolicyKit-1;
- из терминала — выполнить команду:
fly-admin-policykit-1
Главное окно программы
Главное окно программы содержит следующие элементы:
- 1 — строку меню, предоставляющую доступ к функциям программы;
- 2 — область выбора политик. Каждая политика представлена действием или набором действий (см. Список политик), на которые возможно выдать или аннулировать разрешения;
- 3 — текстовое поле задания значений для фильтрации, позволяющее отфильтровать и вывести в окно (2) перечень политик и действий;
- 4 — панель настройки разрешений. Данная панель станет активной при выборе действия из каталога.
Добавление системных администраторов
Для выдачи разрешений непривилегированной группе/учетной записи на выполнение привилегированных действий в системе необходимо в программе добавить ее в перечень системных администраторов. После добавления группы/учетной записи в перечень системных администраторов им будут доступны привилегированные действия, для которых назначена неявная авторизация (см. Неявные авторизации). Данные группы и учетные записи могут быть как обычными (например, astra-admin), так и системными (например, daemon).
Список системных групп и учетных записей, зарегистрированных в операционной системе, зависит от установленных компонентов. Основные группы и учетные записи приведены в описании модуля «Группы» (см. справочную страницу «Группы»).
Для выдачи разрешения на выполнение привилегированных действий в системе и добавления группы/учетной записи в перечень системных администраторов необходимо:
- в строке меню выбрать Файл — Глобальная настройка политик;
- в открывшемся окне во вкладке Системные настройки следует:
- нажать [Добавить] и в появившихся выпадающих списках выбрать категорию (группу или учетную запись) и имя группы или учетной записи соответственно. При необходимости возможно добавить несколько групп и/или учетных записей, повторив данное действие;
- нажать [Да] для сохранения изменений.
Для аннулирования разрешения на выполнение привилегированных действий в системе и исключения группы/учетной записи из перечня системных администраторов необходимо:
- в строке меню выбрать Файл — Глобальная настройка политик;
- в открывшемся окне во вкладке Системные настройки следует:
- нажать [Удалить] в строке группы/учетной записи, разрешение для которой необходимо аннулировать;
- нажать [Да] для сохранения изменений.
Политики и их приоритет
В программе существуют системная конфигурация политик (хранится в каталоге /etc/polkit-1/) и конфигурация пользовательских политик (хранится в каталоге /usr/share/polkit-1/). Возможно настроить какая из конфигураций будет иметь больший приоритет (обрабатываться системой в первую очередь). Для этого необходимо:
- в главном меню программы выбрать Файл — Глобальная настройка политик;
- в открывшемся окне перейти во вкладку Приоритет конфигурации;
- в числовых полях Приоритет системной конфигурации и Приоритет настроек политики ввести значение приоритета (где 0 — наименьший приоритет, а 99 — наибольший).
Не рекомендуется удалять системную конфигурацию политик. Описание работы пользовательских политик и механизм их настройки см. Пользовательские политики.
Пользовательские политики
Настройка разрешений
Пользовательские политики позволяют выдавать и аннулировать разрешения (санкции) группе/учетной записи на выполнение привилегированных действий в отдельной программе или службе ОС с помощью неявной и явной авторизации (см. Неявные авторизации и Явные авторизации). Например, возможно предоставить доступ к устройству, разрешить установку пакетов или разрешить смену времени и часового пояса. Когда непривилегированный процесс запрашивает выполнение привилегированного действия, программа выполняет следующее:
- проверяет разрешение для группы/учетной записи, от имени которой запущен процесс (владельца процесса), на выполнение действия в рамках настроенной политики;
- позволяет выполнить данное действие, если оно разрешено, а если действие не разрешено, то заблокировать его выполнение.
Основные политики и действия, на которые возможно выдать или аннулировать разрешения, а также их описание см. Список политик. Набор политик, представленный в программе, зависит от установленных программ и компонентов в ОС.
Неявные авторизации
Неявные авторизации позволяют выдавать и аннулировать разрешения (санкции) на выполнение привилегированных действий для:
- всех групп/учетных записей;
- всех групп/учетных записей, которые выполнили аутентификацию;
- групп/учетных записей, добавленных в перечень системных администраторов (см. Добавление системных администраторов).
Разрешения, настроенные с помощью неявной авторизации, будут иметь меньший приоритет (исполняться в последнюю очередь), чем разрешения, настроенные с помощью явной авторизации (см. Явные авторизации).
При неявной авторизации привилегированные действия можно выполнить из следующих режимов:
- из активной консоли;
- из неактивной консоли;
- из режима удаленной сессии.
Подробное описание выполнения действий из соответствующих режимов см. Режим выполнения действия.
В рамках неявной авторизации для каждого из режимов выполнения привилегированных действий можно назначить одно из следующих разрешений:
- разрешить;
- запретить;
- аутентификация администратора;
- аутентификация администратора (сохранить);
- аутентификация;
- аутентификация (сохранить).
Подробное описание разрешений см. Назначение разрешений.
Для настройки политик при неявной авторизации необходимо:
- в главном окне программы из раскрывающегося дерева папок выбрать требуемое действие и при необходимости ввести пароль администратора в открывшемся окне аутентификации;
- на панели настройки разрешений в секции Неявные авторизации из выпадающих списков для каждого из режимов выполнения (Удаленная сессия, Неактивная консоль, Активная консоль) назначить необходимые разрешения (см. Назначение разрешений);
- нажать [Сохранить] для сохранения настроек и ввести пароль администратора в открывшемся окне аутентификации.
Явные авторизации
Явные авторизации позволяют выдавать и аннулировать разрешения (санкции) на выполнение привилегированных действий определенной группе/учетной записи. Разрешения, настроенные с помощью явной авторизации, будут иметь больший приоритет (исполняться в первую очередь), чем разрешения, настроенные с помощью неявной авторизации (см. Неявные авторизации).
При явной авторизации действия можно выполнить из следующих режимов:
- из активной консоли,
- из неактивной консоли,
- из режима удаленной сессии.
Подробное описание выполнения действий из соответствующих режимов см. Режим выполнения действия.
В рамках явной авторизации для каждого из режимов можно назначить одно из следующих разрешений:
- разрешить,
- запретить,
- аутентификация администратора (одноразовая);
- аутентификация администратора (сохранить);
- аутентификация (одноразовая);
- аутентификация (сохранить).
Подробное описание разрешений см. Назначение разрешений.
Для настройки политик при явной авторизации необходимо:
- в главном окне программы из раскрывающегося дерева папок выбрать требуемое действие и при необходимости ввести пароль администратора в открывшемся окне аутентификации;
- на панели настройки разрешений нажать [Добавить];
- в открывшемся окне Добавить явную авторизацию в поле Название указать название авторизации;
- из выпадающих списков для каждого из режимов выполнения (Удаленная сессия, Неактивная консоль, Активная консоль) назначить необходимые разрешения (см. Назначение разрешений);
- нажать [Добавить];
- из выпадающих списков выбрать для кого применяется политика (для группы или для учетной записи) и имя группы или учетной записи соответственно;
- нажать [Да] для сохранения настроек;
- нажать [Сохранить] в главном окне программы и ввести пароль администратора в открывшемся окне аутентификации.
При явной авторизации для аннулирования разрешения на выполнение привилегированного действия необходимо:
- в главном окне программы из раскрывающегося дерева папок выбрать требуемое действие;
- на панели настройки разрешений в секции Явные авторизации выбрать разрешение, которое необходимо аннулировать;
- нажать [Удалить];
- нажать [Сохранить] и при необходимости ввести пароль администратора в открывшемся окне аутентификации.
Режим выполнения действия
При использовании неявных и явных авторизаций (см. Неявные авторизации и Явные авторизации) действия можно выполнить из следующих режимов:
- активная консоль — выполнение действий на локальном компьютере в графическом интерфейсе или из активной консоли;
- неактивная консоль — выполнение действий на локальном компьютере из неактивной консоли (например, при выполнении процесса в неактивной консоли или в фоновом режиме);
- удаленная сессия — выполнение действий с удаленного компьютера.
Назначение разрешений
В рамках как явной, так и неявной авторизации (см. Неявные авторизации и Явные авторизации) для каждого из режимов (см. Режим выполнения действия) можно назначить одно из следующих разрешений:
- разрешить —разрешает выполнение привилегированного действия;
- запретить —запрещает выполнение привилегированного действия;
- аутентификация администратора или аутентификация администратора (одноразовая) — для разрешения выполнения привилегированного действия всегда требуется аутентификация системного администратора (см. Добавление системных администраторов);
- аутентификация администратора (сохранить) — для разрешения выполнения привилегированного действия при первом запуске требуется аутентификация системного администратора (см. Добавление системных администраторов). При последующих запусках аутентификация системного администратора не запрашивается;
- аутентификация или аутентификация (одноразовая) — для разрешения выполнения привилегированного действия всегда требуется аутентификация учетной записи, от имени которой будет выполняться процесс;
- аутентификация (сохранить) — для разрешения выполнения привилегированного действия при первом запуске требуется аутентификация учетной записи, от имени которой будет выполняться процесс. При последующих запусках аутентификация не запрашивается.
Список политик
Основные политики и действия, на которые возможно выдать или аннулировать разрешения, а также их описание приведены в таблице.
Политики Org.freedesktop
NetworkManager | |
|---|---|
| Действие | Описание |
| enable or disable connectivity checking | включить или отключить возможность проверки сетевого соединения |
| enable or disable Wi-Fi devices | включить или отключить возможность работы с устройствами, поддерживающими Wi-Fi |
| enable or disable mobile broadband devices | включить или отключить возможность работы с мобильными устройствами широкополосного доступа |
| allow control of network connections | позволить контролировать сетевые соединения |
| perform a checkpoint or rollback of interfaces configuration | выполнить возврат к контрольной точке или откатить конфигурацию интерфейсов |
| enable or disable WiMAX mobile broadband devices | включить или отключить возможность работы с устройствами, поддерживающими WiMAX |
| reload NetworkManager configuration | перезагрузить конфигурацию менеджера сети |
| put NetworkManager to sleep or wake it up | перевести менеджер сети в спящий режим или режим готовности |
| enable or disable system networking | включить или отключить сеть передачи данных |
| enable or disable device statistics | включить или отключить просмотр статистики о подключенных устройствах |
NetworkManager — Settings — NetworkManager | |
| Действие | Описание |
| modify personal network connections | изменить настройку персональных сетевых подключений |
| modify network connections for all users | изменить настройку сетевых подключений для всех учетных записей |
| modify persistent system hostname | изменить статическое системное имя узла |
| modify persistent global DNS configuration | изменить статическую глобальную конфигурацию DNS-сервера |
NetworkManager — NetworkManager | |
| Действие | Описание |
| allow control of Wi-Fi scans | позволить контролировать сканирование сетей Wi-Fi |
NetworkManager — NetworkManager — NetworkManager | |
| Действие | Описание |
| connection sharing via a protected Wi-Fi network | настроить совместное использование подключения через защищенную сеть Wi-Fi |
| connection sharing via an open Wi-Fi network | настроить совместное использование подключения через открытую сеть Wi-Fi |
The Udisks Project | |
| Действие | Описание |
| send standby command | отправить команду «режим ожидания» |
| delete loop devices | удалить петлевые устройства (петлевые устройства используются для интерпретации файлов в качестве реальных блочных устройств) |
| unmount a device mounted by another user | размонтировать устройство, смонтированное другим пользователем |
| unlock an encrypted device | разблокировать зашифрованное устройство |
| modify drive settings | изменить настройки диска |
| mount a filesystem on a system device | смонтировать файловую систему на системное устройство |
| check power state | проверить состояние питания |
| open a device | открыть устройство |
| update SMART data | обновить данные мониторинга состояния SMART (Self-Monitoring, Analysis and Reporting Technology) |
| power off a drive attached to another seat | отключить диск, подключенный к другому рабочему месту |
| send standby command to drive on other seat | отправить команду «режим ожидания» на устройство, подключенное на другом рабочем месте |
| manage swapspace | управлять файлом подкачки |
| rescan a device | сканировать устройство повторно |
| send standby command to a system drive | отправить команду «режим ожидания» на системный диск |
| power off drive | выключить привод |
| change passphrase for an encrypted device | изменить пароль для зашифрованного устройства |
| securely erase a hard disk | безопасно стереть жесткий диск |
| eject media from a drive attached to another seat | извлечь носитель из привода, подключенного к другому рабочему месту |
| eject media | извлечь носитель из привода |
| take ownership of a filesystem | стать владельцем файловой системы |
| lock an encrypted device unlocked by another user | заблокировать зашифрованное устройство, разблокированное другим пользователем |
| modify a device (org.freedesktop.udisks2.modify-device-other-seat) | изменить устройство, подключенное к другому рабочему месту |
| cancel job | отменить задание |
| update SMART data | обновить данные мониторинга состояния SMART (Self-Monitoring, Analysis and Reporting Technology) |
| set SMART data from blob | установить данные мониторинга состояния SMART из blob (binary linked object — объектный файл без публично доступных исходных кодов, загружаемый в ядро операционной системы) |
| modify a system device | изменить настройки системного устройства |
| mount a filesystem on behalf of another user | смонтировать файловую систему от имени другой учетной записи пользователя |
modify system-wide configuration (org.freedesktop.udisks2.read-system-configuration-secrets) | считать общесистемную конфигурацию, содержащую конфиденциальные/скрытые данные |
| start the sanitize operation | начать процесс удаления данных без возможности их восстановления из кэша |
| manage loop devices | управлять петлевыми устройствами (петлевые устройства используются для интерпретации файлов в качестве реальных блочных устройств) |
| manage RAID arrays | управлять RAID-массивами |
| mount/unmount filesystems defined in the fstab file with the x-udisks-auth option | смонтировать/размонтировать файловые системы, определенные в файле fstab с параметром x-udisks-auth |
| modify a device (org.freedesktop.udisks2.modify-device) | изменить устройство |
| modify system-wide configuration (org.freedesktop.udisks2.modify-system-configuration) | изменить общесистемную конфигурацию |
| eject media from a system drive | извлечь носитель из системного диска |
| enable/disable SMART | включить/отключить технологию мониторинга состояния SMART (Self-Monitoring, Analysis and Reporting Technology) |
| power off a system drive | отключить системный диск |
| run SMART self-test | запустить самопроверку SMART (Self-Monitoring, Analysis and Reporting Technology) |
| NVMeoF connection | управлять соединением на базе NVMeoF (NVMe over Fabrics) |
| unlock an encrypted device specified in the crypttab file with the x-udisks-auth option | разблокировать зашифрованное устройство, указанное в файле crypttab с параметром x-udisks-auth |
| cancel job started by another user | отменить задание, начатое другим пользователем |
| format a namespace | форматировать пространство имен (множество, созданное для логической группировки уникальных идентификаторов) |
| modify loop devices | изменить настройки петлевых устройств (петлевые устройства используются для интерпретации файлов в качестве реальных блочных устройств) |
| mount a filesystem | смонтировать файловую систему |
| open a system device | открыть системное устройство |
| изменить пароль для зашифрованного устройства | |
| unlock an encrypted system device | разблокировать зашифрованное системное устройство |
| unlock an encrypted device plugged into another seat | разблокировать зашифрованное устройство, подключенное к другому рабочему месту |
| run device self-test | запустить самотестирование устройства |
| disconnect a NVMeoF controller | отсоединить контроллер NVMeoF (NVMe over Fabrics) |
| mount a filesystem from a device plugged into another seat | смонтировать файловую систему с устройства, подключенного к другому рабочему месту |
| set a NVMe Host NQN/ID | установить/изменить идентификатор Host NQN (NVMe Qualified Name), использующийся при соединении с устройствами NVMe |
Timedate1 | |
| Действие | Описание |
| set RTC to local timezone or UTC | установить аппаратные часы по местному времени или по Гринвичу |
| turn network time synchronization on or off | включить или выключить синхронизацию времени по сети |
| set system time | настроить системное время |
| set system timezone | настроить часовой пояс |
| Login1 | |
| Действие | Описание |
| set self linger | разрешить работу программ в фоновом режиме после завершения сеанса |
| hibernate | перевести систему в спящий режим |
| inhibit delay shutdown | разрешить программам устанавливать задержку на выключение системы |
| halt ignore inhibit | остановить систему несмотря на то, что программа запросила блокировку выключения (например, при работе с виртуальной машиной) |
| set reboot to firmware setup | запустить режим настройки прошивки материнской платы при следующей загрузке |
| inhibit delay sleep | разрешить программам устанавливать задержку на засыпание системы |
| reboot | перезагрузить систему |
| chvt | сменить сеанс |
| suspend multiple sessions | перевести систему в ждущий режим, несмотря на то, что в ней работают другие пользователи |
| hibernate multiple sessions | перевести систему в спящий режим, несмотря на то, что в ней работают другие пользователи |
| power off | выключить систему |
| suspend ignore inhibit | перевести систему в спящий режим, несмотря на то, что программа запросила блокировку (например, при работе с виртуальной машиной) |
| inhibit handle lid switch | разрешить программам игнорировать закрытие крышки ноутбука |
| set wall message | отправить сообщение на все терминалы |
| hibernate ignore inhibit | перевести систему в спящий режим, несмотря на то, что программа запросила блокировку (например, при работе с виртуальной машиной) |
| inhibit handle power key | разрешить программам блокировать выключение системы, инициированное пользователем по нажатию кнопки питания |
| lock sessions | заблокировать/разблокировать текущие сеансы |
| power off multiple sessions | выключить систему, несмотря на то, что в ней работают другие пользователи |
| reboot ignore inhibit | перезагрузить систему, несмотря на то, что программа запросила блокировку выключения (например, при работе с виртуальной машиной) |
| halt | остановить систему |
| attach device | разрешить подключение устройств к рабочим местам |
| flush devices | сбросить привязки устройств к рабочим местам |
| set reboot to boot loader entry | выбрать определенную загрузочную запись при следующем запуске |
| reboot multiple sessions | перезагрузить систему, несмотря на то, что в ней работают другие пользователи |
| halt multiple sessions | остановить систему, несмотря на то, что в ней работают другие пользователи |
| inhibit block sleep | разрешить программам устанавливать блокировку на режим сна системы (для работы с программами и процессами, не требующими постоянного взаимодействия пользователя с системой) |
| set reboot parameter | установить параметр перезагрузки |
| suspend | перевести систему в ждущий режим |
| inhibit handle suspend key | разрешить программам блокировать переход системы в ждущий режим, инициированный пользователем по нажатию кнопки |
| power off ignore inhibit | выключить систему, несмотря на то, что программа запросила блокировку выключения (например, при работе с виртуальной машиной) |
| set reboot to boot loader menu | отобразить меню загрузчика при следующей загрузке |
| inhibit block shutdown | разрешить программам устанавливать блокировку на выключение системы |
| manage | управлять текущими сеансами, учетными записями и рабочими местами |
| inhibit handle hibernate key | разрешить программам блокировать переход системы в спящий режим, инициированный пользователем по нажатию кнопки |
| set user linger | разрешить пользователям оставлять приложения в фоновом режиме после завершения сеанса |
| inhibit block idle | разрешить программам устанавливать блокировку на автоматический переход системы в ждущий режим (для работы с программами и процессами, не требующими постоянного взаимодействия пользователя с системой) |
| inhibit handle reboot key | разрешить программам блокировать перезагрузку системы, инициированную пользователем по нажатию кнопки |
ModemManager | |
| Действие | Описание |
| querychange passphrase for an encrypted device and manage firmware on a mobile broadband device | запросить управление и управлять прошивкой на мобильном устройстве широкополосного доступа |
| control the modem manager daemon | организовать доступ к службе управления модемами |
| add, modify, and delete mobile broadband contacts | добавить, изменить, удалить контакты мобильного устройства широкополосного доступа |
| enable and view geographic location and positioning information | включить позиционирование и просмотреть информацию о географическом местоположении и позиционировании |
| query and utilize network information and services | запросить информацию о сети и использовать сетевые службы |
| send, save, modify, and delete text messages | отправить, сохранить, изменить, удалить текстовые сообщения через службу управления модемами |
| accept incoming voice calls or start outgoing voice calls | разрешить принимать входящие голосовые вызовы или выполнять исходящие голосовые вызовы |
| query network time and timezone information | запросить информацию о сетевом времени и часовом поясе |
ModemManager — ModemManager | |
| Действие | Описание |
| unlock and control a mobile broadband device | разблокировать и управлять мобильным устройством широкополосного доступа |
Accounts | |
| Действие | Описание |
| manage user accounts | управлять учетными записями |
| change your own user data | изменить собственные данные учетной записи |
| change your own user password | изменить пароль собственной учетной записи |
| change the login screen configuration | изменить конфигурацию экрана входа в систему |
System Color Manager | |
| Действие | Описание |
| install system color profiles | установить системные цветовые профили |
| create a color managed device | создать устройство управления цветом |
| remove a color profile | удалить цветовой профиль |
| modify a color profile | изменить цветовой профиль |
| remove a color managed device | удалить устройство управления цветом |
| modify color settings for a device | изменить настройки цвета для устройства |
| create a color profile | создать цветовой профиль |
| inhibit color profile selection | запретить выбор цветового профиля |
| use color sensor | использовать датчик определения цвета |
Systemd1 | |
| Действие | Описание |
| manage system services or other units | управлять системными службами и юнитами |
| dump the systemd state without rate limits | дамп состояния подсистемы инициализации и управления службами systemd без ограничений по скорости |
| send passphrase back to system | отправить общесистемный пароль, не привязанный к конкретной учетной записи (например, разблокировка зашифрованных жестких дисков) |
| reload the systemd state | перезагрузить конфигурацию подсистемы инициализации и управления службами systemd |
| set or unset system and service manager environment variables | настроить переменные окружения для системного менеджера (переменные, определенные оболочкой и используемые программами во время выполнения) |
| manage system service or unit files | управлять файлами конфигурации системных служб и юнитов |
Network1 | |
| Действие | Описание |
| revent ntp | восстановить настройки NTP по умолчанию |
| set dns over tls | включить/отключить DNS поверх TLS |
| set ntp servers | задать NTP-серверы |
| reconfigure | изменить конфигурацию сетевого интерфейса |
| set llmnr | включить/отключить LLMNR (Link-Local Multicast Name Resolution) |
| set dnssec negative trust anchors | задать DNSSEC Negative Trust Anchors |
| set dnssec | включить/отключить DNSSEC |
| set dns servers | Задать DNS-серверы |
| reload | перечитать настройки сети |
| revert dns | восстановить настройки DNS по умолчанию |
| renew | обновить динамические адреса |
| forcerenew | послать с DCHP-сервера сообщение о принудительном обновлении |
| set default route | задать маршрут по умолчанию |
| set domains | задать домены |
| set mdns | включить/отключить multicast DNS |
Hostname1 | |
| Действие | Описание |
| set static host name | настроить статическое имя компьютера |
| get description | получить описание системы |
| set machine information | настроить информацию о компьютере |
| get product UUID | получить уникальный идентификатор элемента продукта (universally unique IDentifier) |
| set host name | настроить имя компьютера |
| get hardware serial | получить серийный номер оборудования |
Locale1 | |
| Действие | Описание |
| set system locale | настроить системную локаль (установить региональные настройки) |
| set system keyboard settings | настроить параметры клавиатуры |
The polkit project | |
| Действие | Описание |
| run a program as another user | запустить программу от имени другой учетной записи |
Timesync1 | |
| Действие | Описание |
| set runtime NTP servers | установить возможность динамической настройки серверов NTP |
Политики Ru.rusbitech
| Fly — Adminfontshelper | |
|---|---|
| Действие | Описание |
| remove fonts | удалить шрифты |
| remove font packages | удалить пакет шрифтов |
| save | сохранить шрифты |
| install font package | установить пакет шрифтов |
| Fly — Orientationhelper | |
| Действие | Описание |
| delete previous calibration data | удалить данные предыдущей калибровки монитора |
| changing orientation greeter display | изменить ориентацию экрана приветствия |
| save calibration data | сохранить данные калибровки монитора |
| Fly — Formatdevicehelper | |
| Действие | Описание |
| format device | форматировать устройство |
| Fly — System policy settings | |
| Действие | Описание |
| change explicit authorizations for an action | изменить явные разрешения для действия |
| read system authorizations | прочитать системные разрешения |
| change implicit authorizations for an action | изменить неявные разрешения для действия |
| change global configuration for system policies | изменить глобальную конфигурацию для системных политик |
| Fly — Markerhelper | |
| Действие | Описание |
| install marker font | установить шрифт в редакторе маркеров |
| update marker template | обновить шаблон редактора маркеров |
| Fly — Kioskhelper | |
| Действие | Описание |
| changing global recording mode of system kiosk rules | изменить режим общей записи системных правил киоска (изменить набор правил, которые ограничивают доступ пользователя к различным функциям и ресурсам) |
| update system kiosk profiles | обновить системный профиль киоска |
| trace application | отследить работу приложения в режиме киоска |
| enable/disable system kiosk mode | включить/выключить режим киоска |
| Fly — Fly admin DBus helper | |
| Действие | Описание |
| restart service | перезапустить службу |
| move file and restart service | переместить файл и запустить службу |
| enable service | сделать службу доступной |
| copy file | копировать файл |
| synchronize by NTP | синхронизировать время с сервером NTP |
| start service | запустить службу |
| exec process with arguments | запустить исполняемый файл в контексте существующего процесса с помощью команды exec и соответствующего аргумента |
| move file | переместить файл |
| disable service | отключить службу |
| change upgrade state | изменить состояние обновления |
| stop service | остановить службу |
| Fly — Usb over IP | |
| Действие | Описание |
| unshare device | закрыть доступ к устройству |
| get ports info | получить информацию о портах |
| connect to remote device | подключиться к удаленному устройству |
| disconnect to remote device | разорвать связь с удаленным устройством |
| share device | открыть доступ к устройству |
| Fly — Fly admin repo helper | |
| Действие | Описание |
| remove repository from source list | удалить репозиторий из списка источников |
| publish repository | опубликовать репозиторий |
| unpublish repository | отменить публикацию репозитория |
| add repository to source list | добавить репозиторий в список источников |
| Fly — Date and time control | |
| Действие | Описание |
| syncronize by NTP | синхронизировать время и дату с сервером NTP |
| set system time | установить системное время |
| switch to system time settings tabs | переключиться во вкладку настроек системного времени |
Политики Org.opensuse
Cupspkhelper — The openSUSE Project | |
|---|---|
| Действие | Описание |
| change printer settings | изменить настройки принтера |
| enable/disable a printer | включить/выключить принтер |
| add/remove/edit a remote printer | добавить/удалить/редактировать удаленный принтер |
| restart/cancel/edit a job owned by another user | перезапустить/отменить/редактировать задание, запущенное другим пользователем |
| add/remove/edit a printer | добавить/удалить/изменить принтер |
| get list of available devices | получить список доступных устройств |
| get/set server settings | получить/установить настройки сервера |
| set a printer as default printer | установить принтер в качестве принтера по умолчанию |
| add/remove/edit a class | добавить/удалить/изменить класс (группа принтеров, которая отображается для пользователя в качестве единого принтера) |
| restart/cancel/edit a job | перезапустить/отменить/изменить задание |
| add/remove/edit a local printer | добавить/удалить/изменить локальный принтер |
Политики Org.libvirt
| Unix | |
| Действие | Описание |
| manage local virtualized systems | управлять локальными системами виртуализации |
| monitor local virtualized systems | просмотреть локальные системы виртуализации |
| Api — Domain (виртуальная машина) | |
|---|---|
| Действие | Описание |
| send domain input | отправить операцию ввода (например, нажатие клавиш или движение мыши) на виртуальную машину |
| take domain screenshot | сделать скриншот виртуальной машины (отобразить текущее состояние графического вывода) |
| set password of the domain's account | установить пароль для учетной записи виртуальной машины |
| read domain block | считать данные из блочного устройства виртуальной машины |
| open domain graphics | открыть доступ к графическому интерфейсу виртуальной машины |
| stop domain | остановить виртуальную машину |
| freeze and thaw domain filesystems | заморозить и разморозить файловые системы виртуальной машины (приостановить и возобновить их работу) |
| access domain | предоставить доступ к виртуальной машине |
| snapshot domain | сделать снимок состояния (точку восстановления) виртуальной машины |
| read domain | считать информацию с виртуальной машины |
| inject domain NMI | отправить сигнал NMI (Non-Maskable Interrupt) на виртуальную машину (тип сигнала, который обрабатывается незамедлительно, независимо от текущего состояния процессора) |
| dump domain | создать резервную копию виртуальной машины |
| open domain namespace | открыть пространство имен виртуальной машины |
| migrate domain | перенести виртуальную машину |
| checkpoint domain | создать контрольную точку виртуальной машины (для возврата к определенным состояниям в процессе работы) |
| hibernate domain | перевести виртуальную машину в режим гибернации |
| suspend domain | приостановить работу виртуальной машины |
| read domain memory | считать память виртуальной машины |
| read secure domain | считать информацию с защищенной виртуальной машины (с дополнительными требованиями аутентификации) |
| domain init control | инициализировать управление виртуальной машиной |
| write domain | внести изменения на виртуальной машине |
| reset domain | сбросить виртуальную машину |
| save domain | сохранить текущее состояние виртуальной машины |
| use domain power management | управлять питанием виртуальной машины |
| delete domain | удалить виртуальную машину |
| trim domain filesystems | упорядочить файловые системы виртуальной машины |
| send domain signal | отправить сигнал на виртуальную машину |
| start domain | запустить виртуальную машину |
| write domain time | установить время виртуальной машины |
| update domain uefi hash | обновить хэш uefi виртуальной машины |
| write domain block | записать данные в блочное устройство виртуальной машины |
| open domain device | открыть прямой доступ к устройству виртуальной машины (например, доступ к сетевому интерфейсу или для взаимодействия с другими устройствами) |
| Api — Storage-pool | |
| Действие | Описание |
| start storage pool | запустить хранилище данных |
| refresh storage pool | обновить хранилище данных |
| delete storage pool | удалить хранилище данных |
| access storage pool | предоставить доступ к хранилищу данных |
| stop storage pool | остановить работу хранилища данных |
| read storage pool | считать хранилище данных |
| list storage pool volumes | вывести список томов хранилища данных |
| write storage pool | записать в хранилище данных |
| save storage pool | сохранить конфигурацию хранилища данных |
| format storage pool | форматировать хранилище данных |
| Api — Storage-vol | |
| Действие | Описание |
| access storage volume | предоставить доступ к тому хранилища данных |
| format storage volume | форматировать том хранилища данных |
| create storage volume | создать том хранилища данных |
| write storage volume data | записать данные в том хранилища данных |
| resize storage volume | изменить объем тома хранилища данных |
| read storage volume data | считать данные тома хранилища данных |
| delete storage volume | удалить том хранилища данных |
| read storage volume | считать том хранилища данных |
| Api — Connect | |
| Действие | Описание |
| list interfaces | вывести список интерфейсов |
| write host (org.libvirt.api.connect.write) | сохранить текущие настройки узла |
| interface transactions | организовать доступ к «сетевым транзакциям» (маршрутизация, параметры VLAN, IP-адресация) |
| list secrets | вывести список секретных ключей (паролей, ключей авторизации, SSH-ключей) |
| list network filters | вывести список сетевых фильтров |
| list storage pools | вывести список хранилищ данных |
| list network filter bindings | вывести привязку правил фильтрации к определенным интерфейсам |
| access connection | установить соединение с сущностями libvirt (в общем случае с доменами) |
| use host power management | использовать функцию управления питанием заданного узла |
| write host (org.libvirt.api.connect.write-config) | сохранить конфигурацию узла |
| list domains | вывести список доменов |
| read host | считать конфигурацию узла |
| list node devices | вывести список устройств, доступных на физическом узле (например, жесткие диски или устройства ввода/вывода) |
| detect storage pools | определить (обнаружить) хранилища данных |
| list networks | вывести список сетей |
| Api — Interface | |
| Действие | Описание |
| write interface | записать интерфейс |
| start interface | запустить интерфейс |
| stop interface | остановить интерфейс |
| read interface | считать интерфейс |
| delete interface | удалить интерфейс |
| save interface | сохранить интерфейс |
| access interface | предоставить доступ к интерфейсу |
| Api — Network-port | |
| Действие | Описание |
| delete network port | удалить сетевой порт |
| create network port | создать сетевой порт |
| read network port | считать сетевой порт |
| access network port | предоставить доступ к сетевому порту |
| write network port | записать сетевой порт |
| Api — Secret | |
| Действие | Описание |
| save secret | сохранить секретный ключ |
| access secret | предоставить доступ к секретному ключу |
| read secure secret | считать секретный ключ (с дополнительными параметрами аутентификации) |
| delete secret | удалить секретный ключ |
| write secret | записать секретный ключ |
| read secret | считать секретный ключ |
| Api — Node-device | |
| Действие | Описание |
| access node device | предоставить доступ к устройству в виртуальной среде |
| write node device | записать данные на устройство в виртуальной среде |
| stop node device | остановить (выключить) устройство в виртуальной среде |
| detach node device | отключить устройство в виртуальной среде (отменить связь устройства с виртуальной машиной) |
| start node device | запустить устройство для использования в виртуальной среде |
| read node device | прочитать данные с устройства в виртуальной среде |
| delete node device | удалить устройство из виртуальной среды |
| save node device | сохранить устройство в виртуальной среде |
| Api — Nwfilter | |
| Действие | Описание |
| read network filter | считать конфигурацию сетевого фильтра |
| write network filter | записать конфигурацию сетевого фильтра |
| access network filter | предоставить доступ к конфигурации сетевого фильтра |
| delete network filter | удалить конфигурацию сетевого фильтра |
| save network filter | сохранить конфигурацию сетевого фильтра |
| Api — Network | |
| Действие | Описание |
| stop network | остановить работу сети |
| read network | считать информацию о сети |
| list network ports | вывести список сетевых портов |
| delete network | удалить сеть |
| write network | записать конфигурацию сети |
| start network | запустить сеть |
| save network | сохранить сеть |
| access network | предоставить доступ к сети |
| Api — Nwfilter-binding | |
| Действие | Описание |
| access network filter | предоставить доступ к настройкам сетевого фильтра |
| read network filter binding | считать конфигурацию привязки сетевого фильтра |
| create network filter binding | создать конфигурацию привязки сетевого фильтра |
| delete network filter binding | удалить привязку конфигурации сетевого фильтра |
Политики Ru.astralinux
| KCM — KCModule digsig helper (применимо на уровнях защищенности «Воронеж» и «Смоленск») | |
| Действие | Описание |
| file signing request | выполнить запрос на подписание файла |
| export new key | экспортировать новый ключ |
| apply changes | применить изменения |
| run kgpg | запустить kgpg (программу для создания и централизованного хранения ключей шифрования и паролей) |
| key generation | выполнить генерацию ключа |
| logging signing request | регистрировать события о запросах на подписание файлов |
| request keys list | запросить список ключей |
| KCM — KCModule quotas helper | |
| Действие | Описание |
| change | изменить квоты на использование дискового пространства |
| access | получить доступ на просмотр текущих настроек квот |
| set notifications | установить уведомления при достижении/превышении лимитов квот |
| Policyexpiration | |
| Действие | Описание |
| applies password expiration configuration | применить конфигурацию срока действия пароля |
| KCM — KCModule limit.conf edit helper | |
| Действие | Описание |
| update limits.conf file | обновить конфигурацию файла limits.conf (управлять ограничениями для учетных записей на использование ресурсов) |
| read limits.conf file | считать конфигурацию файла imits.conf (просмотреть ограничения для учетных записей на использование ресурсов) |
| KCM — Policycomplexity | |
| Действие | Описание |
| applies password complexity configuration | применить конфигурацию сложности пароля |
| KCM — Astra admin events | |
| Действие | Описание |
| export configuration | экспортировать конфигурацию |
| import configuration | импортировать конфигурацию |
| logging service control | управлять службой регистрации событий |
| write config file | записать файл конфигурации |
| remove config file | удалить файл конфигурации |
| KCM — Groups | |
| Действие | Описание |
| add group | добавить группу |
| update group settings | обновить настройки группы |
| remove group | удалить группу |
| read group settings | считать настройки группы |
| KCM — Astra security monitor | |
| Действие | Описание |
| getting status for the security subsystem | получить статус подсистемы безопасности |
| KCM — KCModule devices and rules helper | |
| Действие | Описание |
| change | изменить разрешения на выполнение привилегированных действий и разрешения на управление устройствами |
| access | получить доступ на просмотр текущих разрешений на выполнение привилегированных действий и разрешений на управление устройствами |
| KCM — KCModule policy clean memory helper (применимо на уровнях защищенности «Воронеж» и «Смоленск») | |
| Действие | Описание |
| access to module policy memory clean | организовать доступ к модулю политики очистки памяти |
| apply changes | применить изменения настроек модуля политики очистки памяти |
| KCM — KCModule user management helper | |
| Действие | Описание |
| read user settings | считать настройки учетной записи |
| add user | добавить учетную запись |
| update user settings | обновить настройки учетной записи |
| remove user | удалить учетную запись |
| KCM — KCModule mandatory access control subsystems (применимо на уровнях защищенности «Воронеж» и «Смоленск») | |
| Действие | Описание |
| remove | удалить уровень/категорию конфиденциальности |
| edit | отредактировать уровень/категорию конфиденциальности |
| access | получить доступ на просмотр уровней/категорий конфиденциальности |
| add | добавить уровень/категорию конфиденциальности |
| change | сменить уровень/категорию конфиденциальности |
| KCM — Mic (применимо на уровнях защищенности «Воронеж» и «Смоленск») | |
| Действие | Описание |
| update MIC settings | обновить настройки контроля целостности |
| read MIC settings | считать настройки контроля целостности |
| KCM — Fly event viewer | |
| Действие | Описание |
| logging service control | управлять журналом системных событий |
| remove config file | удалить конфигурационный файл журнала системных событий |
| KCM — KCModule SSH settings helper | |
| Действие | Описание |
| apply changes | применить изменения модуля настройки SSH-соединения |
| reading states parameters | считать параметры состояния модуля настройки SSH-соединения |
| KCM — KCModule systems parameters helper | |
| Действие | Описание |
| reading states parameters | считать состояние параметров системы |
| run gufw | запустить межсетевой экран gufw |
| apply changes | применить изменения параметров системы |
| KCM — KCModule graphical kiosk management helper | |
| Действие | Описание |
| update graphical kiosk settings | обновить настройки графического киоска |
| read graphical kiosk settings | считать настройки графического киоска |
| KCM — Usercreation | |
| Действие | Описание |
| applies user creation policy configuration | применить конфигурацию политики создания учетных записей |
| KCM — Astra common security settings control | |
| Действие | Описание |
| common access to security settings | организовать общий доступ к настройкам безопасности |
| KCM — Astra system profiles | |
| Действие | Описание |
| create initialization profile | создать профиль инициализации |
| change current profile settings | изменить текущие настройки профиля |
| KCM — lockout | |
| Действие | Описание |
| applies lockout configuration | применить конфигурацию блокировки |
| KCM — Policy kit admindm settings manager | |
| Действие | Описание |
| save settings | сохранить настройки графического входа в систему |
| load settings | загрузить настройки графического входа в систему |
| KCM — Policyhistory | |
| Действие | Описание |
| applies password history configuration | применить конфигурацию истории паролей |
| KCM — Astra common settings control | |
| Действие | Описание |
| read file and directory list from the specified directory | прочитать список файлов и каталогов из указанного каталога |
| KCM — Policylogin | |
| Действие | Описание |
| applies local login configuration | применить локальную конфигурацию входа в систему |
| Fly — Fly admin autostart control | |
| Действие | Описание |
| analyzing disable | отключить возможность анализа запускаемых приложений при входе пользователя |
| apply changes | применить изменения, выполненные в пользовательском и общесистемном автозапуске |
| analyzing enable | включить возможность анализа запускаемых приложений при входе пользователя |
| Fly — Desktop management interface | |
| Действие | Описание |
| system information | предоставить информацию о системе |
| Localeselecthelper | |
| Действие | Описание |
| generate locales | определить региональные настройки |
| write system locales | записать региональные настройки |
| Astra common security settings control | |
| Действие | Описание |
| common action on get system settings | общее действие при получении системных настроек |
| common action on set system settings | общее действие при установке системных настроек |
| Astra — KCM — Kernel parameters helper | |
| Действие | Описание |
| apply changes | применить изменения настроек параметров ядра |
| delete template | удалить шаблон настроек |
| available parameters | вывести доступные параметры настроек ядра |
| Ase — Events | |
| Действие | Описание |
| get events config | просмотр конфигурационного файла регистрации событий |
| set events config | отредактировать конфигурационный файл регистрации событий |
| Flypasswd | |
| Действие | Описание |
| reset password | сбросить пароль |
| Flyadmindriverhelper | |
| Действие | Описание |
| remove packages | удалить пакеты |
| install packages | установить пакеты |
| replace driver | изменить драйвер устройства |
| Eventatcherhelper | |
| Действие | Описание |
| generate notify | настроить отображение всплывающих уведомлений |
Политика Org.dpkg
| The Dpkg Project | |
|---|---|
| Действие | Описание |
| run update-alternatives to modify system alternative selections | запустить update-alternatives, чтобы изменить выбор системных настроек |
Политики Org.kubuntu
| Kubuntu | |
|---|---|
| Действие | Описание |
| change software configuration | изменить конфигурацию программного обеспечения |
| cancel the task of another user | отменить задание другого пользователя |
| update package information | обновить информацию о пакете |
| install or remove packages | установить или удалить пакеты |
Политики Org.kde
| Kcontrol —GRUB2 Bootloader Control Module | |
| Действие | Описание |
| save the GRUB2 Bootloader settings | сохранить настройки загрузчика GRUB2 |
| load the GRUB2 Bootloader settings | загрузить настройки загрузчика GRUB2 |
| restore the default GRUB2 Bootloader settings | восстановить настройки загрузчика GRUB2 по умолчанию |
| install the GRUB2 Bootloader | установить загрузчик GRUB2 |
Kcontrol — Systemd Genie | |
| Действие | Описание |
| save a system unit file | сохранить unit-файл системы (например, для запуска скриптов в системе) |
| manipulate systemd over D-bus | управлять systemd через D-bus |
| Powerdevil — Discretegpuhelper | |
| Действие | Описание |
| check existence of discrete gpu | проверить наличие дискретного графического процессора |
| Powerdevil — Backlighthelper | |
| Действие | Описание |
| set brightness | установить уровень яркости |
| get brightness | получить текущий уровень яркости |
| get maximum brightness value | получить максимальное значение поддерживаемого уровня яркости |
| get syspath | получить системный путь |
| Powerdevil — Greeterhelper | |
| Действие | Описание |
| set settings for greeter window | установить настройки для окна приветствия |
Powerdevil — Chargethresholdhelper | |
|---|---|
| Действие | Описание |
| get current battery charge limit | получить текущий предел заряда батареи |
| set battery charge limit | установить лимит заряда батареи |
Ktexteditor — Document actions | |
| Действие | Описание |
| save document | сохранить документ |
| Ksysguard — KSysGuard | |
| Действие | Описание |
| change IO Scheduler and priority | редактировать планировщик задач ввода-вывода и приоритет выполняемых процессов |
| change the priority of a process | изменить приоритет процесса |
| change CPU Scheduler and priority | редактировать планировщик задач центрального процессора и приоритет выполняемых процессов |
| kill or stop etc a process | завершить или приостановить процесс |
| Localegenhelper | |
| Действие | Описание |
| enable locales | включить региональные настройки |
| K3b | |
| Действие | Описание |
| adds current user to a specified group | добавить текущую учетную запись в указанную группу |
| update device and programs permissions | обновить разрешения программ и устройств |
| Font Installer | |
| Действие | Описание |
| manage system-wide fonts | управлять общесистемными шрифтами |
Kinfocenter — Desktop Management Interface | |
| Действие | Описание |
| system information | предоставить информацию о системе |
Политики Org.rnd2
| RnD2 | |
|---|---|
| Действие | Описание |
| CPU frequency change with cpupower-gui (org.rnd2.cpupower_gui.apply_runtime) | изменить настройки частоты процессора для текущей сессии (настройки не будут сохранены после перезагрузки системы) |
| CPU frequency change with cpupower-gui (org.rnd2.cpupower_gui.apply_persist) | изменить настройки частоты процессора (настройки будут сохранены после перезагрузки системы) |
Политики Org.fedoraproject
| FirewallD | |
|---|---|
| Действие | Описание |
| firewall policies interface (org.fedoraproject.FirewallD1.policies) | получить доступ к интерфейсу политик межсетевого экрана |
| firewall configuration (org.fedoraproject.FirewallD1.config) | сконфигурировать межсетевой экран |
| general firewall information | получить общую информацию о межсетевом экране |
| firewall direct interface (org.fedoraproject.FirewallD1.direct) | получить прямой доступ к интерфейсу межсетевого экрана (выполнить команду или операцию с межсетевым экраном без использования промежуточных инструментов) |
| firewall | получить доступ ко всем настройкам межсетевого экрана |
FirewallD — Config | |
| Действие | Описание |
| firewall configuration (org.fedoraproject.FirewallD1.config.info) | получить данные о конфигурации межсетевого экрана |
FirewallD — Direct | |
| Действие | Описание |
| firewall direct interface (org.fedoraproject.FirewallD1.direct.info) | получить данные о настройке прямого доступа интерфейса межсетевого экрана |
FirewallD — Policies | |
| Действие | Описание |
| firewall policies interface (org.fedoraproject.FirewallD1.policies.info) | получить данные о политиках интерфейса политик межсетевого экрана |
Политика Com.hp
| HP Development Company | |
|---|---|
| Действие | Описание |
| install a plug-in into a HP printer | установить плагин для принтера HP |
Политика Org.x
| The X.org project | |
|---|---|
| Действие | Описание |
| modify lcd panel brightness | изменить яркость ЖК-экрана |
Политика The Spice Project
| Действие | Описание |
| low level USB device access | предоставить низкоуровневый доступ к USB-устройству |
Политики Com.ubuntu
| Pkexec | |
|---|---|
| Действие | Описание |
| com.ubuntu.pkexec.synaptic | выполнить привилегированные операции (установка или удаление пакетов) с использованием политики полномочий PKEXEC |
| com.ubuntu.pkexec.gufw | настроить политики межсетевого экрана Gufw в графическом интерфейсе |
Политика The Gparted Project
| Действие | Описание |
| run GParted as root | запустить GParted с правами root |
Политика Local.kcron
| Crontab Actions | |
|---|---|
| Действие | Описание |
| write crontab | сохранить изменения в crontab через графический интерфейс Kcron |