Не могу себе представить ситуацию, чтобы пользователю группы wheal, т.е. администратору было запрещено монтировать флэшки.
Может в правиле разрешим также и пользователю группы wheal монтировать, тогда не придётся ничего городить. Только правило, разрешающее монтирование пользователям групп wheal и storage, и создание группы storage при установке пакета.
99.9% всех линуксоидов сидят под пользовательской учёткой пользователя root, подобно тому, как они сидят в Windows XP под учёткой админа.
Учётки root и user1, создаваемые на инсталляции, принадлежат одному root-человеку, - пользователей в системе ещё нет, а user1, он же root, и так знает свой админский пароль, он его себе в свою пользовательскую учётку и устанавливал на инсталляции:
# grep wheel /etc/group
wheel:x:10:root,altlinux
Его же учётки, user1, root, в группе wheel.
Остальные будущие wheel, которым root будет делегировать права, это соадминистаторы. И с очень ограниченными правами.
Они могут не мочь почти всё.
Но root-а который раззвенел свой пароль всем wheel, нужно увольнять без выходного пособия по статье о несоответствии квалификации.
Ещё например:
gparted разрешает запуск только админам, т.е. входящим в wheel, не знающим пароля root и c очень ограниченными правами в sudoers соадминам
# sed -n '70,74p' /usr/share/polkit-1/actions/org.gnome.gparted.policy
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin</allow_active>
</defaults>
И более того, не входящим в группу disk.
А в этом кроется ещё бОльшая засада в Линукс:
Если непревилегированый пользователь
# groups tester2
tester2 : tester2
уведёт пользовательский пароль непревилегированного соадмина, не знающего ни пароля root и не состоящего в sudoers
# groups tester
tester : tester wheel
он сможет запустить gparted и разнести весь винчестер вдребезги
# ps -eo user,args | grep gparted
tester2 /bin/sh /usr/bin/gparted
root /bin/sh /usr/bin/gparted
root /usr/sbin/gpartedbin
root grep --color=auto gparted
Поэтому моё ИМХО, там где я могу хоть как-то повлиять:
- Монтирование накопителей other-seat должно быть доступно только группе storage.
И только по условию:
return polkit.Result.AUTH_SELF
но не
return polkit.Result.AUTH_ADMIN
когда повышается риск уничтожения системы.
Работает polkit.Result.AUTH_SELF так:
- Ты в группе storage?
- Да.
- Пароль?
- Вот.
- Заходи.
- Ты в группе storage?
- Нет.
- В сторону. Следующий!
AUTH_ADMIN работает так:
Вор заходит на проходную.
Вахтёр: Назови фамилию какого-нибудь начальника?
Вор: - Никлев.
Вахтёр: Заходи. И вот тебе кувалда.
Ни при каких условиях, пользователи любого ранга, не должны иметь прав монтирования other-seat, если они не входят в группу storage.
Только root с правами по-умолчанию.
И по-умолчанию только root из своего аккаунта user1:wheel, которое разрешит правило.
Фишка в том, что wheel, это возможность получать права, но это ещё не права.
root из своего пользовательского аккаунта user1:wheel, получает права через авторизацию после 'su - root'. Т.е. проходит авторизацию для входа в свою же учётку, но уже суперадминскую.
Остальных wheel, он наделит теми правами, которыми захочет. Но не больше.
