Auch die Polkit/Policykit-Konfiguration sollte kontrolliert werden. Siehe dazu das Sicherheitshandbuch von OpenSUSE Leap, Kapitel “19 - Authorization with PolKit”. https://doc.opensuse.org/de/
Ich verwende für Polkit/Policykit standardmässig (default) unter SUSE Linux Enterprise Desktop 15 (SLED15) /etc/polkit-default-privs.restrictive mit einigen händischen Anpassungen in /etc/polkit-default-privs.local.
Hier die von mir eingesetzte /etc/polkit-default-privs.local für SLED 15 SP3 (entspricht mehr oder weniger OpenSUSE Leap 15.3).
################################################################################
#
# /etc/polkit-default-privs.local
#
# GrandDixence, 17.04.2022
#
# Mit pkaction -v > /tmp/test.txt arbeiten.
#
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
# !!! Achtung: Keine Tabulatoren verwenden !!!
# !!! Spalten mit mindestens zwei Leerzeichen trennen !!!
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#
# => /etc/polkit-1/rules.d/90-default-privs.rules kontrollieren.
#
################################################################################
#
# This file is used by the set_polkit_default_privs tool to generate polkit
# rules. It is meant for local overrides of the active profile (defined in
# /etc/sysconfig/security) by the administrator of the system: any definitions
# here take precedence over the distribution defaults in
# /etc/polkit-default-privs.<profile>.
#
# The syntax for this file is defined in polkit-default-privs(5). Note that you
# need to run /sbin/set_polkit_default_privs for changes to take effect.
#
#
# Format:
# <privilege> <any>:<inactive>:<active>
#
#
# Rechner herunterfahren und neustarten
#-------------------------------------------------------------------------------
org.freedesktop.login1.power-off auth_admin:auth_admin:yes
org.freedesktop.login1.power-off-multiple-sessions auth_admin:auth_admin:yes
org.freedesktop.login1.reboot auth_admin:auth_admin:yes
org.freedesktop.login1.reboot-multiple-sessions auth_admin:auth_admin:yes
#
#
# Wechseldatenträger einhaengen, entfernen und auswerfen
#-------------------------------------------------------------------------------
org.freedesktop.udisks2.filesystem-mount auth_admin:auth_admin:yes
org.freedesktop.udisks2.filesystem-unmount-others auth_admin:auth_admin:yes
org.freedesktop.udisks2.eject-media auth_admin:auth_admin:yes
#
#
# Softwareupdates einspielen
#-------------------------------------------------------------------------------
org.freedesktop.packagekit.package-eula-accept auth_admin:auth_admin:yes
org.freedesktop.packagekit.system-network-proxy-configure auth_admin:auth_admin:auth_admin
org.freedesktop.packagekit.system-sources-refresh auth_admin:auth_admin:yes
org.freedesktop.packagekit.system-update auth_admin:auth_admin:yes
#
#
# Druckerjob loeschen und Druckprobleme beheben
#-------------------------------------------------------------------------------
org.opensuse.cupspkhelper.mechanism.all-edit auth_admin:auth_admin:yes
org.opensuse.cupspkhelper.mechanism.job-edit auth_admin:auth_admin:yes
org.opensuse.cupspkhelper.mechanism.job-not-owned-edit auth_admin:auth_admin:yes
org.opensuse.cupspkhelper.mechanism.printer-enable auth_admin:auth_admin:yes
#
#
# Ein- und Ausschalten von WLAN
#-------------------------------------------------------------------------------
org.freedesktop.NetworkManager.enable-disable-wifi auth_admin:auth_admin:yes
org.freedesktop.NetworkManager.enable-disable-wwan auth_admin:auth_admin:yes
#
#
# Pulseaudio als Echtzeitanwendung
#-------------------------------------------------------------------------------
org.freedesktop.RealtimeKit1.acquire-high-priority yes:yes:yes
org.freedesktop.RealtimeKit1.acquire-real-time yes:yes:yes
#
#
Änderungen der /etc/polkit-default-privs.local sind immer mit diesem nachfolgenden Befehl zu übernehmen!