Публикации
РАЗРАБОТКА ГРУППОВЫХ ПОЛИТИК В АЛЬТ ДОМЕН НА БАЗЕ МЕХАНИЗМА POLKIT
Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.
Скачать публикацию
Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: РАЗРАБОТКА ГРУППОВЫХ ПОЛИТИК В АЛЬТ ДОМЕН НА БАЗЕ МЕХАНИЗМА POLKIT
Автор: Скворцов Демид Олегович
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: РАЗРАБОТКА ГРУППОВЫХ ПОЛИТИК В АЛЬТ ДОМЕН НА БАЗЕ МЕХАНИЗМА POLKIT
Автор: Скворцов Демид Олегович
Скворцов Д.О.СтудентНаучный руководитель: Морозов И.М., преподавательРоссийский государственный университет нефти и газа (НИУ) имени И.М. ГубкинаРАЗРАБОТКА ГРУППОВЫХ ПОЛИТИК В АЛЬТ ДОМЕН НА БАЗЕ МЕХАНИЗМА POLKITАннотация:В статье рассматривается практическая реализация централизованного управления привилегиями в доменной инфраструктуре ALT Linux («Альт Домен») с использованием механизма Polkit. Описаны исходные возможности платформы и типовые ограничения при настройке «по умолчанию». На базе лабораторного стенда (контроллер домена dc1 и клиент ws1) реализованы и протестированы политики в GPUI для ограничения критичных действий обычного пользователя, а также показан подход к расширению наборов политик за счёт разработки собственного административного шаблона (на примере запрета смены часового пояса). Результаты подтверждают применимость решения для повышения уровня управляемости инфраструктуры и реализации принципа минимальных привилегий.Ключевые слова:ALT Linux, Альт Домен, Polkit, групповая политика, GPO, GPUI, Samba, авторизация, минимальные привилегии, доменная инфраструктура.Skvortsov D.O.StudentScientific supervisor: Morozov I.M., LecturerNational University of Oil and Gas «Gubkin University»DEVELOPING GROUP POLICIES IN ALT DOMAIN USING POLKITAbstract:This paper presents a practical approach to centralized privilege management in ALT Linux Domain infrastructure using Polkit. It highlights out-of-the-box capabilities and typical limitations of default configurations. A laboratory environment (dc1 domain controller and ws1 client) was deployed to implement and validate GPUI-based policies that restrict critical actions for regular users. Additionally, a custom administrative template was developed to extend the set of manageable actions (demonstrated by restricting time zone changes). The results demonstrate improved manageability and implementation of the least-privilege principle rather than claiming absolute security assurance.Keywords:ALT Linux, ALT Domain, Polkit, group policy, GPUI, Samba, authorization, least privilege.Рост требований к информационной безопасности и переход к импортонезависимым решениям усиливают интерес к доменным инфраструктурам на базе Linux. В ALT Домен централизованное применение настроек реализуется через механизм групповых политик, а Polkit обеспечивает авторизацию действий системных сервисов (NetworkManager, systemd, udisks2, login1 и др.).Цель исследования: Повышение безопасности доменной инфраструктуры ALT Linux за счёт централизованного управления привилегиями.Задачи исследования:Развернуть лабораторный стенд (dc1/ws1) на базе ALT Домен. Настроить и применить групповые политики Polkit через GPUI. Разработать собственный административный шаблон для нового действия Polkit. Протестировать ограничения, включая проверку устойчивости к обходу через CLI. До начала моей работы базовый функционал уже существовал: в ALT Домен доступны групповые политики и административные шаблоны Polkit, позволяющие задавать уровни разрешений (yes/no/auth_self/auth_admin) через GPUI. Однако в учебной и лабораторной практике оставались две проблемы: отсутствовал единый воспроизводимый сценарий развёртывания стенда и проверки политик на стороне клиента; а при необходимости управлять новым действием (которого нет в штатных шаблонах) приходилось расширять административные определения без пошагового примера интеграции в доменное распространение.В рамках курсовой работы я устранил эти пробелы: развернул тестовую доменную среду, реализовал набор прикладных политик для типовых угроз управляемости (пароли, питание, сеть, USB), выполнил проверку их работы для обычного пользователя и показал механизм разработки собственной политики с подключением через GPUI.Методология включала: анализ архитектуры ALT Домен и Polkit, развёртывание стенда dc1/ws1, настройку политик через GPUI, тестирование под учётной записью testuser и разработку собственного административного шаблона для нового действия Polkit.Тестовая среда включала контроллер домена dc1 (ALT Домен) и рабочую станцию ws1 (ALT Workstation). Домен создан на базе Samba в режиме контроллера домена, после чего ws1 была присоединена к домену для получения групповых политик и проверки их применения.Рисунок 1 – Архитектура групповых политик в ALT ДоменРисунок 2 – Файловая структура Polkit и расположение правилДля демонстрации принципа минимальных привилегий создан пользователь testuser без административных прав. Далее через GPUI реализованы ограничения для чувствительных операций, которые в типовой пользовательской среде часто становятся источником инцидентов или нарушений регламента: смена пароля, выключение/перезагрузка, изменение сетевых параметров, подключение внешних носителей.Рисунок 3 – Пример политики: ограничение смены пароля пользователяРисунок 4 – Пример политики: запрет выключения рабочей станцииРисунок 5 – Ограничения в NetworkManager для обычного пользователяРисунок 6 – Ограничение монтирования съёмных носителейТестирование выполнялось на ws1 под учётной записью testuser: попытки изменить сетевую конфигурацию, выполнить операции с питанием или смонтировать USB-устройство приводили к отказу или запросу административной авторизации в зависимости от выбранного уровня (no/auth_admin). Такой результат подтверждает корректность доменного распространения политик и их срабатывание на клиенте.Таблица 1 – Что было «до» и что улучшено в работеПреимущества подхода: централизованность (единый источник правил), гибкость уровней авторизации (auth_self/auth_admin и др.), устойчивость к локальным изменениям на рабочих станциях. Ограничения: зависимость от корректной работы механизма обновления GPO и служб синхронизации, а также необходимость понимать структуру действий Polkit при разработке нестандартных правил.Отдельным результатом стала разработка собственной политики. Для демонстрации расширяемости была подготовлена политика, запрещающая смену часового пояса (org.freedesktop.timedate1.set-timezone) для обычных пользователей и разрешающая действие только администраторам (членам wheel). Политика добавлена в административный шаблон и отображается в GPUI наравне со штатными правилами, а затем распространяется на клиента через доменные механизмы.Рисунок 7 – Добавление собственной политики в GPUI и её включениеРисунок 8 – Проверка: обычный пользователь не может сменить часовой поясВ итоге показано, что Polkit в связке с ALT Домен позволяет централизованно, прозрачно и масштабируемо ограничивать привилегированные действия, а также расширять набор управляемых правил под конкретные требования организации или учебного класса.В дополнение к визуальной проверке через графический интерфейс выполнено тестирование попыток обхода ограничений через командную строку. Пользователь testuser пытался инициировать запрещённые действия напрямую через системные утилиты (например, timedatectl set-timezone и nmcli). Во всех случаях механизм Polkit корректно перехватывал запросы и применял заданную политику (no или auth_admin), что подтверждает устойчивость ограничений вне зависимости от способа вызова действия.Также рассмотрен вопрос централизованного логирования. Попытки выполнения запрещённых операций фиксируются в системных журналах (journalctl), что позволяет организовать последующий аудит инцидентов и анализ нарушений регламента. Таким образом, реализация групповых политик в ALT Домен может быть дополнена механизмами централизованного сбора логов.Вопросы централизованного управления инфраструктурой на базе Linux рассматриваются в документации Samba и Polkit, а также в руководствах по ALT Домен. В работах по системному администрированию подчёркивается значимость принципа минимальных привилегий и разграничения доступа в корпоративной среде. Документация Polkit описывает модель авторизации действий через действия (actions) и правила (rules), что послужило методологической основой для разработки собственных административных шаблонов. Материалы Samba раскрывают принципы функционирования контроллера домена и распространения политик. Отечественные источники (Базальт СПО) дополняют теоретическую базу практическими рекомендациями по развертыванию ALT Домен.В работе продемонстрирована практическая реализация централизованного управления привилегиями в ALT Домен с использованием механизма Polkit. Полученные результаты свидетельствуют о повышении уровня управляемости инфраструктуры и реализации принципа минимальных привилегий. Проведённое тестирование подтвердило корректность применения политик как через графический интерфейс, так и при попытке инициирования действий через CLI. В то же время обеспечение абсолютной безопасности требует комплексного подхода, включающего аудит, контроль прав администратора и мониторинг журналов событий.Список используемой литературыРуководство по настройке и администрированию домена ALT: [Электронный ресурс]. – Москва: Базальт СПО, 2023. – URL: (дата обращения: 12.04.2025). Руководство по установке домена ALT: [Электронный ресурс]. – Москва: Базальт СПО, 2023. – URL: (дата обращения: 20.05.2025). Samba: Руководство по настройке и администрированию: [Электронный ресурс] / The Samba Team. – 2024. – URL: (дата обращения: 17.06.2025). Polkit: Справочное руководство: [Электронный ресурс] / The Polkit Team. – 2024. – URL: (дата обращения: 22.05.2025). Козловский, А. А. Администрирование сетей на основе Linux: учебное пособие / А. А. Козловский. – Москва: ДМК Пресс, 2022. – 320 с. Systemd: Руководство администратора: [Электронный ресурс] / The systemd Team. – 2024. – URL: (дата обращения: 29.05.2025). UDisks: Документация по API: [Электронный ресурс] / The UDisks Team. – 2024. – URL: (дата обращения: 05.06.2025). Иванов, П. В. Безопасность информационных систем на базе Linux: учебное пособие / П. В. Иванов, С. Н. Петров. – Санкт-Петербург: Лань, 2021. – 256 с. Смит, Р. Linux Samba Server Administration / Р. Смит, Дж. Леблан. – 2-е изд. – Indianapolis: Sybex, 2023. – 648 с. Пол, А. Управление доступом в операционных системах Linux: практическое руководство / А. Пол. – Москва: Вильямс, 2022. – 432 с. Матвиенко, В. И. Построение доменных структур на базе свободного ПО: учебное пособие / В. И. Матвиенко. – Новосибирск: НГТУ, 2023. – 180 с. Kerberos: Руководство по настройке и интеграции в Samba: [Электронный ресурс] / MIT Kerberos Consortium. – 2024. – URL: (дата обращения: 08.06.2025). Сергеев, Д. Н. Политики безопасности в Linux: проектирование и реализация / Д. Н. Сергеев. – Москва: Бином, 2022. – 290 с. Configuring Polkit for Enterprise Environments: [Электронный ресурс] / Linux Foundation. – 2024. – URL: (дата обращения: 10.06.2025). Жуков, А. С. Автоматизация администрирования Linux-систем: учебное пособие / А. С. Жуков, Е. П. Ковалев. – Екатеринбург: УрФУ, 2023. – 210 с. Кузнецов, М. В. Основы информационной безопасности в сетях на базе Linux / М. В. Кузнецов. – Москва: Техносфера, 2021. – 384 с. Samba Rules: Advanced Configuration Techniques: [Электронный ресурс] / Red Hat Documentation. – 2024. – URL: (дата обращения: 13.06.2025). Уймин, А. Г. Демонстрационный экзамен базового уровня. Сетевое и системное администрирование : Практикум. Учебное пособие для вузов / А. Г. Уймин. – Санкт-Петербург : Издательство "Лань", 2024. – 116 с. – (Высшее образование). – ISBN 978-5-507-48647-2. – EDN BZJRIQ.
