Bug 47652

Created attachment 14487 [details]
Логи

Описанное поведение наблюдается также и для включения/отключения других служб, например cups (Планировщик CUPS).

Причем, заметила, что если после применения политики дополнительно выполнить 
# gpupdate
# gpoa --loglevel 0
# reboot
То изменения применяются.
А если просто перезагрузку - то НЕ применяются.

Аналогичное поведение наблюдается для политик из группы
Компьютер - Административные шаблоны - Система ALT - Безопасность

"Включение/выключение политик безопасности операционной системы"
Изменения вступают в сиду только после принудительного выполнения команд на клиенте.

gpupdate-0.9.13.1-alt1 -> sisyphus:

 Wed Oct 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.1-alt1
 - Fixed kde_applier bug (closes: 47995)
 - Fixed kde_applier bug (closes: 47996)
 - Fixed kde_applier bug (closes: 47998)
 - Fixed kde_applier bug (closes: 47820)
 - Fixed shortcut_applier bug (closes: 47638)
 - Fixed shortcut_applier bug (closes: 47641)
 - Fixed systemd_applier bug (closes: 47652)

Переоткрываю, т.к. ошибка всё ещё воспроизводится: 
После перезагрузки сервис auditd в статусе active (running)

Версии пакетов: 
gpupdate-0.9.13.1-alt1
admx-basealt-0.1.13.2-alt1

Created attachment 14958 [details]
Статус сервиса auditd после перезагрузки клиента

(Ответ для Монастырский Илья на комментарий #6)
> Создано вложение 14958 [details] [подробности]
> Статус сервиса auditd после перезагрузки клиента

В файле /lib/systemd/system/auditd.service юнита systemd есть опция RefuseManualStop=no, которая указывает, что systemd не должен принимать запросы на ручную остановку данного сервиса. Для того, чтобы остановить подобные сервисы, нужно отредактировать соответствующий INI-файл. Если стоит задача управлять сервисом, с помощью групповых политик, можно настроить политику редактирования INI файлами.

(Ответ для Danila Skachedubov на комментарий #7)
> (Ответ для Монастырский Илья на комментарий #6)
> > Создано вложение 14958 [details] [подробности]
> > Статус сервиса auditd после перезагрузки клиента
> 
> В файле /lib/systemd/system/auditd.service юнита systemd есть опция
> RefuseManualStop=no, которая указывает, что systemd не должен принимать
> запросы на ручную остановку данного сервиса. Для того, чтобы остановить
> подобные сервисы, нужно отредактировать соответствующий INI-файл. Если стоит
> задача управлять сервисом, с помощью групповых политик, можно настроить
> политику редактирования INI файлами.

Спасибо за отклик, для auditd вопрос решен.

Но как упомянуто в https://bugzilla.altlinux.org/show_bug.cgi?id=47652#c3
данная проблема воспроизводится и для других сервисов из группы.

Вот свежий результат на примере отключения сервиса polkit.

systemd-249.16-alt2.x86_64
gpupdate-0.9.12.6-alt1.noarch

1) Создать подразделение OU1, добавить компьютер client2 в это подразделение.
2) Клик на OU1 -> в контекстном меню подразделения (в папке «Объекты групповой политики») выбрать пункт «Создать политику и связать с этим подразделением»
3) Изменить Созданную политику: 
Компьютер - Административные шаблоны - Система ALT - Службы - Systemd - Диспетчера авторизации (polkit) 
Состояние политики  = Отключено, нажать ОК.
4) Выполнить перезагрузку client2
5) После перезагрузки проверить статус сервиса polkit

Результат: статус active (running)

Ожидаемый результат: статус inactive (dead)

Дополнительно: политика применяется после _второй_ перезагрузки

Created attachment 15289 [details]
disable polkit

Created attachment 15290 [details]
journalctl.log

(Ответ для Vera Blagoveschenskaya на комментарий #9)
> Вот свежий результат на примере отключения сервиса polkit.
> 
> systemd-249.16-alt2.x86_64
> gpupdate-0.9.12.6-alt1.noarch
> 
> 1) Создать подразделение OU1, добавить компьютер client2 в это подразделение.
> 2) Клик на OU1 -> в контекстном меню подразделения (в папке «Объекты
> групповой политики») выбрать пункт «Создать политику и связать с этим
> подразделением»
> 3) Изменить Созданную политику: 
> Компьютер - Административные шаблоны - Система ALT - Службы - Systemd -
> Диспетчера авторизации (polkit) 
> Состояние политики  = Отключено, нажать ОК.
> 4) Выполнить перезагрузку client2
> 5) После перезагрузки проверить статус сервиса polkit
> 
> Результат: статус active (running)
> 
> Ожидаемый результат: статус inactive (dead)
> 
> Дополнительно: политика применяется после _второй_ перезагрузки

По указанным шагам не воспроизводится: изменение происходит c ПЕРВОЙ перезагрузки:

ActiveState=inactive
SubState=dead

Стенд:

- ALT Workstation 10.1 (P10)
- ALT Workstation K 10.2.1 (P10)
- ALT Education 10.1 (P10)
- ALT Workstation 10.1 (Sisyphus)
- ALT Workstation K 10.2.1 (Sisyphus)

Возможно, есть что-то ещё, что блокирует изменение политики?

gpupdate-0.9.13.4-alt1 -> p10:

 Mon Dec 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.4-alt1
 - Fixed regular expression to search for wallpaper management section (closes: 48828)
 Wed Dec 13 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.3-alt1
 - Fixed bug handling of invalid username
   when requesting cache (closes: 48310)
 Tue Nov 28 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.2-alt1
 - Fixed kde_applier bug (closes: 47995)
 Wed Oct 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.1-alt1
 - Fixed kde_applier bug (closes: 47995)
 - Fixed kde_applier bug (closes: 47996)
 - Fixed kde_applier bug (closes: 47998)
 - Fixed kde_applier bug (closes: 47820)
 - Fixed shortcut_applier bug (closes: 47638)
 - Fixed shortcut_applier bug (closes: 47641)
 - Fixed systemd_applier bug (closes: 47652)
 Tue Sep 19 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.0-alt1
 - Added KDE applier
 - Fixed loopback policy processing
 - Fixed appliers exception for some chromium policies
 - Fixed ntp error
 - cifs_appliers, polkit_appliers changed to non-experimental

gpupdate-0.9.13.7-alt1

При тестировании Server 10.2 x86_64 ошибка была воспроизведена, в т.ч. по комментарию #47652#c9 (polkit)

(Ответ для Evgeny Shesteperov на комментарий #12)
> Возможно, есть что-то ещё, что блокирует изменение политики?
Наблюдался ли старт сервисов с задержкой после перезагрузки?
После входа в систему, как скоро проверялся статус, сразу или через некоторое время?

(Ответ для Vera Blagoveschenskaya на комментарий #15)
> (Ответ для Evgeny Shesteperov на комментарий #12)
> > Возможно, есть что-то ещё, что блокирует изменение политики?
> Наблюдался ли старт сервисов с задержкой после перезагрузки?
> После входа в систему, как скоро проверялся статус, сразу или через
> некоторое время?

Точно сказать не могу, но в большинстве случаев так: сразу, через ssh root@machine, как только машина доступна по SSH ([machine]$ systemctl show "audit" | grep -E --color "(ActiveState|SubState)";).

gpupdate-0.10.6-alt0.c10.1 -> c10f1:

 Mon Sep 09 2024 Andrey Limachko <liannnix@altlinux> 0.10.6-alt0.c10.1
 * Backport to c10f1
 Mon Jul 08 2024 Valery Sinelnikov <greh@altlinux> 0.10.6-alt1
 - Fixed firefox_applier errors
 Fri Jun 28 2024 Valery Sinelnikov <greh@altlinux> 0.10.5-alt1
 - Correction of missing entries with a upper case
 - Fixed string processing in date (closes: 50782)
 - Fixed getting correct data for the user for pkcon_runner
 Thu Jun 27 2024 Valery Sinelnikov <greh@altlinux> 0.10.4-alt1
 - Fixed the definition of the module activation check (closes: 50755)
 - Fixed sorting of scripts (closes: 50756)
 - Fixed reading key values from dconf
 - Changed the method for getting the list of packages for pkcon_runner
 Wed Jun 19 2024 Valery Sinelnikov <greh@altlinux> 0.10.3-alt1
 - Added autocompletion for gpoa, gpupdate, gpupdate-setup
 - Added correct work with json data in keys for the Firefox browser
 - Polkit_appliers changed to non-experimental
 - Fixed bug of not clearing kde applier settings (closes: 50336)
 - Fixed registry key reading (closes: 50553)
 - Added waiting for data generation for scripts (closes: 50667)
 Fri Jun 07 2024 Valery Sinelnikov <greh@altlinux> 0.10.2-alt1
 - Added some fixes to dconf_registry and scripts
 - Fixed windows registry key reading for loopback
 Tue Jun 04 2024 Valery Sinelnikov <greh@altlinux> 0.10.1-alt1
 - Added handling of unexpected data types when writing to dconf
 Mon May 13 2024 Valery Sinelnikov <greh@altlinux> 0.10.0-alt1
 - A method for storing registry keys obtained from GPOs (Group Policy Objects)
   has undergone significant repairs. We have switched from using SQLite
   to using Dconf to improve data storage efficiency
 Wed Mar 13 2024 Valery Sinelnikov <greh@altlinux> 0.9.13.9-alt1
 - Fixed premature removal of double slash
 Thu Feb 22 2024 Valery Sinelnikov <greh@altlinux> 0.9.13.8-alt1
 - Added search for dc on the site
 - Added compatibility support for the oldest versions of SQLAlchemy
 Mon Feb 05 2024 Valery Sinelnikov <greh@altlinux> 0.9.13.7-alt1
 - Editing the cache size in the Yandex browser has returned (closes: 44621)
 - Removed unnecessary calls to subprocess
 Wed Jan 31 2024 Valery Sinelnikov <greh@altlinux> 0.9.13.6-alt1
 - Added support for hidden attribute for folders (closes: 48964)
 - Added support for Cyrillic and spaces for mounting disks (closes: 49229)
 Fri Jan 12 2024 Valery Sinelnikov <greh@altlinux> 0.9.13.5-alt1
 - Fixed blocking check for machine policies with multiple sections (closes: 48971)
 - Extension of the valuename_typeint list for the admx-chromium 120.0
 - Extension of the valuename_typeint list for the admx-yandex 118.0
 - Changed PAM logic to prevent re-call (closes: 48973)
 - Changed timer option OnStartupSec to prevent re-call
 Mon Dec 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.4-alt1
 - Fixed regular expression to search for wallpaper management section (closes: 48828)
 Wed Dec 13 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.3-alt1
 - Fixed bug handling of invalid username
   when requesting cache (closes: 48310)
 Tue Nov 28 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.2-alt1
 - Fixed kde_applier bug (closes: 47995)
 Wed Oct 18 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.1-alt1
 - Fixed kde_applier bug (closes: 47995)
 - Fixed kde_applier bug (closes: 47996)
 - Fixed kde_applier bug (closes: 47998)
 - Fixed kde_applier bug (closes: 47820)
 - Fixed shortcut_applier bug (closes: 47638)
 - Fixed shortcut_applier bug (closes: 47641)
 - Fixed systemd_applier bug (closes: 47652)
 Tue Sep 19 2023 Valery Sinelnikov <greh@altlinux> 0.9.13.0-alt1
 - Added KDE applier
 - Fixed loopback policy processing
 - Fixed appliers exception for some chromium policies
 - Fixed ntp error
 - cifs_appliers, polkit_appliers changed to non-experimental
 Wed Jun 14 2023 Valery Sinelnikov <greh@altlinux> 0.9.12.6-alt1
 - Added support for dictionaries as policy values for
   yandex_browser_applier and chromium_applier
 - Extended functionality of ConfigObj to save comments ';'
 - Added support for SQLAlchemy2 in storage
 - Added 'cifsacl' option to mount templates
 Fri May 26 2023 Valery Sinelnikov <greh@altlinux> 0.9.12.5-alt1
 - Fixed editing cache volume (DiskCacheSize) in Yandex browser (closes: 44621)
 - The access to caching files has been fixed
 Sun Mar 19 2023 Evgeny Sinelnikov <sin@altlinux> 0.9.12.4-alt1
 - Fixed an implementation of replace action in folder applier
 - Improve file cache store() with copy in temporary file before saving
 - Added implementation of using executable bit in file copy applier
 - Fixed debug messages typos in file copy applier
 Tue Feb 28 2023 Evgeny Sinelnikov <sin@altlinux> 0.9.12.3-alt1
 - Add support of set copyied files to be executed by paths and suffixes (extensions).
 - Add support of saving comments in ini files.
 - Add support samba-4.17 python interface for gp.gpclass instead of gpclass.