Created attachment 14486 [details] Настройка в gpui Стенд - ALT Server в качестве Samba DC - ALT Workstation в качестве клиента Версия: gpupdate-0.9.12.6-alt1 1. На клиенте запустить службу и проверить статус active (running): # systemctl enable --now auditd && sleep 5; systemctl status auditd 2. В GPUI открыть раздел Компьютер - Административные шаблоны - Система ALT - Службы - Systemd 3. Выбрать политику Служба аудита безопасности 4. Переключить Состояние политики в Отключено и нажать OK 5. Перезагрузить клиентскую систему 6. Проверить статус сервиса: # systemctl status auditd Результат: Статус active (running) Ожидаемый результат: Статус inactive (dead)
Created attachment 14487 [details] Логи
Описанное поведение наблюдается также и для включения/отключения других служб, например cups (Планировщик CUPS). Причем, заметила, что если после применения политики дополнительно выполнить # gpupdate # gpoa --loglevel 0 # reboot То изменения применяются. А если просто перезагрузку - то НЕ применяются.
Аналогичное поведение наблюдается для политик из группы Компьютер - Административные шаблоны - Система ALT - Безопасность "Включение/выключение политик безопасности операционной системы" Изменения вступают в сиду только после принудительного выполнения команд на клиенте.
gpupdate-0.9.13.1-alt1 -> sisyphus: Wed Oct 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.1-alt1 - Fixed kde_applier bug (closes: 47995) - Fixed kde_applier bug (closes: 47996) - Fixed kde_applier bug (closes: 47998) - Fixed kde_applier bug (closes: 47820) - Fixed shortcut_applier bug (closes: 47638) - Fixed shortcut_applier bug (closes: 47641) - Fixed systemd_applier bug (closes: 47652)
Переоткрываю, т.к. ошибка всё ещё воспроизводится: После перезагрузки сервис auditd в статусе active (running) Версии пакетов: gpupdate-0.9.13.1-alt1 admx-basealt-0.1.13.2-alt1
Created attachment 14958 [details] Статус сервиса auditd после перезагрузки клиента
(Ответ для Монастырский Илья на комментарий #6) > Создано вложение 14958 [details] [подробности] > Статус сервиса auditd после перезагрузки клиента В файле /lib/systemd/system/auditd.service юнита systemd есть опция RefuseManualStop=no, которая указывает, что systemd не должен принимать запросы на ручную остановку данного сервиса. Для того, чтобы остановить подобные сервисы, нужно отредактировать соответствующий INI-файл. Если стоит задача управлять сервисом, с помощью групповых политик, можно настроить политику редактирования INI файлами.
(Ответ для Danila Skachedubov на комментарий #7) > (Ответ для Монастырский Илья на комментарий #6) > > Создано вложение 14958 [details] [подробности] > > Статус сервиса auditd после перезагрузки клиента > > В файле /lib/systemd/system/auditd.service юнита systemd есть опция > RefuseManualStop=no, которая указывает, что systemd не должен принимать > запросы на ручную остановку данного сервиса. Для того, чтобы остановить > подобные сервисы, нужно отредактировать соответствующий INI-файл. Если стоит > задача управлять сервисом, с помощью групповых политик, можно настроить > политику редактирования INI файлами. Спасибо за отклик, для auditd вопрос решен. Но как упомянуто в https://bugzilla.altlinux.org/show_bug.cgi?id=47652#c3 данная проблема воспроизводится и для других сервисов из группы.
Вот свежий результат на примере отключения сервиса polkit. systemd-249.16-alt2.x86_64 gpupdate-0.9.12.6-alt1.noarch 1) Создать подразделение OU1, добавить компьютер client2 в это подразделение. 2) Клик на OU1 -> в контекстном меню подразделения (в папке «Объекты групповой политики») выбрать пункт «Создать политику и связать с этим подразделением» 3) Изменить Созданную политику: Компьютер - Административные шаблоны - Система ALT - Службы - Systemd - Диспетчера авторизации (polkit) Состояние политики = Отключено, нажать ОК. 4) Выполнить перезагрузку client2 5) После перезагрузки проверить статус сервиса polkit Результат: статус active (running) Ожидаемый результат: статус inactive (dead) Дополнительно: политика применяется после _второй_ перезагрузки
Created attachment 15289 [details] disable polkit
Created attachment 15290 [details] journalctl.log
(Ответ для Vera Blagoveschenskaya на комментарий #9) > Вот свежий результат на примере отключения сервиса polkit. > > systemd-249.16-alt2.x86_64 > gpupdate-0.9.12.6-alt1.noarch > > 1) Создать подразделение OU1, добавить компьютер client2 в это подразделение. > 2) Клик на OU1 -> в контекстном меню подразделения (в папке «Объекты > групповой политики») выбрать пункт «Создать политику и связать с этим > подразделением» > 3) Изменить Созданную политику: > Компьютер - Административные шаблоны - Система ALT - Службы - Systemd - > Диспетчера авторизации (polkit) > Состояние политики = Отключено, нажать ОК. > 4) Выполнить перезагрузку client2 > 5) После перезагрузки проверить статус сервиса polkit > > Результат: статус active (running) > > Ожидаемый результат: статус inactive (dead) > > Дополнительно: политика применяется после _второй_ перезагрузки По указанным шагам не воспроизводится: изменение происходит c ПЕРВОЙ перезагрузки: ActiveState=inactive SubState=dead Стенд: - ALT Workstation 10.1 (P10) - ALT Workstation K 10.2.1 (P10) - ALT Education 10.1 (P10) - ALT Workstation 10.1 (Sisyphus) - ALT Workstation K 10.2.1 (Sisyphus) Возможно, есть что-то ещё, что блокирует изменение политики?
gpupdate-0.9.13.4-alt1 -> p10: Mon Dec 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.4-alt1 - Fixed regular expression to search for wallpaper management section (closes: 48828) Wed Dec 13 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.3-alt1 - Fixed bug handling of invalid username when requesting cache (closes: 48310) Tue Nov 28 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.2-alt1 - Fixed kde_applier bug (closes: 47995) Wed Oct 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.1-alt1 - Fixed kde_applier bug (closes: 47995) - Fixed kde_applier bug (closes: 47996) - Fixed kde_applier bug (closes: 47998) - Fixed kde_applier bug (closes: 47820) - Fixed shortcut_applier bug (closes: 47638) - Fixed shortcut_applier bug (closes: 47641) - Fixed systemd_applier bug (closes: 47652) Tue Sep 19 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.0-alt1 - Added KDE applier - Fixed loopback policy processing - Fixed appliers exception for some chromium policies - Fixed ntp error - cifs_appliers, polkit_appliers changed to non-experimental
gpupdate-0.9.13.7-alt1 При тестировании Server 10.2 x86_64 ошибка была воспроизведена, в т.ч. по комментарию #47652#c9 (polkit)