如何禁止用户使用pkexec？

Question

例如，我可以控制哪些用户可以运行su或gksu，包括/etc/pam.d中的行auth required pam_wheel.so deny group=nosu --那么组nosu的成员将无法使用su或gksu --su-mode。

然而，这不会阻止任何人使用pkexec (禁止使用su而不禁止使用pkexec是徒劳的，因为显然pkexec提供了相同的功能…)。。是否有类似的方法来控制谁可以使用pkexec，谁可以不使用？

Answer 1

可以使用ACL删除组nosu的所有权限。

setfacl -m g:nosu:--- /usr/bin/pkexec

在设置ACL之后，非nosu组成员的用户仍然通常使用pkexec。