在 systemd loginctl 中配置访问

在这种情况下，loginctl它会在 dbus 上轮询 systemd（其中 == init 并拥有所有权限）

sudo dbus-monitor --system | grep -A 20 -B4  org.freedesktop.systemd1

：

method call time=1569283475.818053 sender=:1.10522 -> destination=org.freedesktop.systemd1 serial=5 path=/org/freedesktop/systemd1; interface=org.freedesktop.systemd1.Manager; member=GetUnitProcesses
   string "session-2.scope"
method return time=1569283475.829297 sender=:1.0 -> destination=:1.10522 serial=8818 reply_serial=5
   array [
      struct {
         string "/user.slice/user-1000.slice/session-2.scope"
         uint32 704
         string "gdm-session-worker [pam/gdm-password]"
      }
      struct {
         string "/user.slice/user-1000.slice/session-2.scope"
         uint32 726
         string "/usr/bin/gnome-keyring-daemon --daemonize --login"
      }
      struct {
         string "/user.slice/user-1000.slice/session-2.scope"
         uint32 730

您可以限制对文件中方法的访问/usr/share/dbus-1/system.d/org.freedesktop.systemd1.conf（这个由分发工具包开发人员提供）：

    <policy context="default">
            <deny send_destination="org.freedesktop.systemd1"/>
            .....
            .....
            <allow send_destination="org.freedesktop.systemd1"
                   send_interface="org.freedesktop.systemd1.Manager"
                   send_member="GetUnitProcesses"/>

还有更多方法可以显示进程列表。删除此权限，命令输出中将没有进程列表。

这个话题没有polkit-1什么有趣的。

隐藏此类计划秘密的最佳方法是将其放入文件中。