Как непривилегированный пользователь может препятствовать тому, чтобы D-автобусное-сообщение запустилось? Например, /usr/share/dbus-1/services/org.bluez.obex.service
запускается шиной сессии. Кажется, нет способа "поместить в черный список" его.
Это - шина сессии, к которой относится мой вопрос. Я хотел бы знать, возможно ли препятствовать тому, чтобы определенные сервисы запустились на шине сессии.
Стандартные установки шины сообщения на сессию и в масштабе всей системы настроены в файлах /usr/share/dbus-1/system.conf
и /usr/share/dbus-1/session.conf
. Эти файлы обычно система-local.conf или сессия-local.conf в/etc/dbus-1; можно поместить локальные переопределения в те файлы, чтобы не изменять основные конфигурационные файлы.
конфигурационный файл является XML-документом. Это должно иметь следующее doctype объявление:
я полагаю, что необходимо изменить /usr/share/dbus-1/session.conf
, который является тем, что/etc/dbus-1 в человечности связано с.
Примечание: Пределы обычно только представляют интерес на шине в масштабе всей системы, не шинах сеанса пользователя, но я думаю, что можно использовать их на шине сессии.
элемент определяет политику безопасности, которая будет применена к определенному набору соединений с шиной. Политика составлена из и элементы. Политики обычно используются с шиной в масштабе всей системы; они походят на брандмауэр в этом, они позволяют ожидаемый трафик и предотвращают неожиданный трафик.
политики, примененные позже, переопределят примененных ранее, когда политики наложатся. Несколько политик с тем же пользователем/группой/контекстом применяются в порядке, они появляются в файле конфигурации.
можно, вероятно, просто прикрепить что-то вроде этого на конце /usr/share/dbus-1/session.conf
до </busconfig>
строка, которая предоставила бы доступ для тех который в группе альбома и отклонил бы его для всех остальных. Конечно, необходимо будет изменить это для соответствия среде и потребностям.
<policy group="lp">
<allow send_destination="org.bluez"/>
<allow send_destination="org.bluez.obex"/>
</policy>
<policy context="default">
<deny send_destination="org.bluez"/>
<deny send_destination="org.bluez.obex"/>
</policy>
Источники:
https://github.com/netblue30/firejail/issues/796 http://www.linuxfromscratch.org/blfs/view/svn/general/dbus.html https://dbus.freedesktop.org/doc/dbus-daemon.1.html https://github.com/ghent360/bluez/blob/master/src/bluetooth.conf