Обнаружил что обычный пользователь состоящий в группе ipausers может менять свои данные: ФИО, оболочку входа, добавлять сертификаты и ssh ключи и тп.. Что конечно в корне не устраивает нас. Кто подскажет как это запретить? В инете литературы найти не удалось(