Еще вариантик подвернулся, более глобальный. Можно сказать dbus-у держать не пущать к системному процессу юзеров не входящих в определенную группу.
Для девайскита например
/etc/dbus-1/system.d/org.freedesktop.DeviceKit.Disks.conf
Находим там <policy context="default">
И меняем все allow на deny
Затем создаем раздел <policy group="disk"> (plugdev)
И прописываем туда все allow
Получается
<?xml version="1.0" encoding="UTF-8"?> <!-- -*- XML -*- -->
<!DOCTYPE busconfig PUBLIC
"-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
"
http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">
<busconfig>
<!-- Only root can own the service -->
<policy user="root">
<allow own="org.freedesktop.DeviceKit.Disks"/>
</policy>
<policy context="default">
<deny send_destination="org.freedesktop.DeviceKit.Disks"/>
<deny send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DBus.Properties"/>
<deny send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DBus.Introspectable"/>
<deny send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DeviceKit.Disks"/>
<deny send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DeviceKit.Disks.Device"/>
</policy>
<policy group="disk">
<allow send_destination="org.freedesktop.DeviceKit.Disks"/>
<allow send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DBus.Properties"/>
<allow send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DBus.Introspectable"/>
<allow send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DeviceKit.Disks"/>
<allow send_destination="org.freedesktop.DeviceKit.Disks"
send_interface="org.freedesktop.DeviceKit.Disks.Device"/>
</policy>
</busconfig>
Таким образом можно ограничить сеть, питание, обычный хал и тд