Итак,
alt-p9-xfce-sysv-20190623-i586.iso, лайв-режим
Загрузка с сохранением в памятьДля тестирования использовалось:
Ноутбук
Lenovo 80E5 (G50-80) / Core i3-5005U CPU / Intel HD Graphics 5500
Криминала не замечено, поэтому
сразу к недостаткам в вопросах дизайна:
- Если меню Системные действия переключено с Меню сеанса на Системные действия, то Разделители отображаются в виде кнопок без иконок (в p8-sysv-xfce этого нет), - можно отключить отображение Разделителей.
К тому же иконка кнопки Ждущий режим не отображается. Как и не отображаются иконки кнопок: Спящий режим, Гибридный спящий режим, Перезагрузка.
- Непривилегированный пользователь может монтировать флешки и из thunar и из tty
вопреки действию
# sed -n '173p; 183p; 244,249p' /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy
<action id="org.freedesktop.udisks2.filesystem-mount-other-seat">
<description xml:lang="ru">Монтировать файловую систему с устройства, подключенного в другое место</description>
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin_keep</allow_active>
</defaults>
</action>
и udiskctl использует(?)
# sed -n '9p; 84,89p' /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy
<action id="org.freedesktop.udisks2.filesystem-mount">
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>yes</allow_active>
</defaults>
</action>
Это правило блокирует монтирование устройств other seat непривилегированными пользователями
# cat /etc/polkit-1/rules.d/60-udisks2-otherseat4wheel-only.rules
polkit.addRule(function(action, subject)
{
if (action.id.indexOf("org.freedesktop.udisks2.filesystem-mount") == 0)
{
if (subject.isInGroup("wheel")) {
return polkit.Result.YES;
} else {
return polkit.Result.NO;
}
};
});
Недостаток этого rules-костыля:
Полностью блокируется для непривилегированного пользователя монтирование файловых системного устройства не прописанных в /etc/fstab (пароль админа(ов) не запрашивается).
Костыль станет ненужным, как только udisks2 при монтировании устройств other seat будет верно использовать нужный action.
Т.е. org.freedesktop.udisks2.filesystem-mount-other-seat с auth_admin_keep для активных пользователей.
ИМХО:
Этот rules-костыль не нужен на домашних компьютерах, где все пользователи предпочитают иметь возможность монтировать флешки. Но нужен на АРМ (Автоматизированное Рабочее Место), где пользователям это должно быть запрещено.
Можно это оформить в виде отдельного пакета, который не будет входить в состав образа и при необходимости может устанавливаться в систему, повышая уровень безопасности и исключая действия вручную, не вдаваясь в тонкости написания рулезов.
Также см. баг #36819
Отличие от аналогичного образа в p8:
В состав образа входят
# rpm -qa | grep l2tp
NetworkManager-l2tp-gtk-1.2.12-alt1.i586
NetworkManager-l2tp-1.2.12-alt1.i586
xl2tpd-1.3.14-alt1.i586
а также консольный настройщик nmtui в псевдографике
Также рекомендуется:
Заглушить громкий beeper через спикеры
# rmmod pcspkr
# cat /etc/modprobe.d/blacklist-pcspkr.conf
blacklist pcspkr
Если HDMI сел в сокет 0, переиндексировать карты посадив аудиокарту в сокет 0
# rmmod pcspkr
# tail -n4 /etc/modprobe.d/alsa-modindex.conf
#options snd_pcsp index=10
options snd_hda_intel id=PCH index=0
options snd_hda_intel id=HDMI index=2
(требуется перезарузка)
Владельцы ноутбуков могут использовать udev rules для горячего подключения usb-audio гарнитуры (для чего и свободен сокет 1):
Вариант II: Горячее подключение usb-audioЗа сим пока всё.
Но в целом же, alt-p9-xfce-sysv-20190623-i586.iso выглядит весьма неплохо.
За предоставленный образ спасибо Антону Мидюкову. И всем тем, кто принял участие в его создании и сохранении традиций sysvinit.
