Polkit: различия между версиями

Материал из ALT Linux Wiki
(Журналирование действий polkit)
(не показано 12 промежуточных версий 7 участников)
Строка 25: Строка 25:
*  '''auth_self_keep_always''' - пользователь должен ввести свой пароль для аутентификации один раз, разрешение предоставляется для текущей и будущих сессий
*  '''auth_self_keep_always''' - пользователь должен ввести свой пароль для аутентификации один раз, разрешение предоставляется для текущей и будущих сессий


*  '''auth_admin''' - пользователь должен ввести пароль root при каждом запросе разрешения
*  '''auth_admin''' - пользователь должен ввести пароль admin при каждом запросе


*  '''auth_admin_keep_session''' - пользователь должен ввести пароль root, разрешение предоставляется для всей сессии
*  '''auth_admin_keep_session''' - пользователь должен ввести пароль admin, разрешение предоставляется для всей сессии


*  '''auth_admin_keep_always''' - пользователь должен ввести пароль root, разрешение предоставляется для текущей и будущих сессий
*  '''auth_admin_keep_always''' - пользователь должен ввести пароль admin, разрешение предоставляется для текущей и будущих сессий
 
admin - в Альт Линукс определён в правиле /etc/polkit-1/rules.d/50-default.rules:
 
<source lang="javascript">
polkit.addAdminRule(function(action, subject) {
        return ["unix-group:wheel"];
});
</source>
 
По-умолчанию, запрашивается пароль пользователя, находящегося в группе wheel. Для того, чтобы запрашивался пароль root необходимо добавить правило с цифрами вначале имени больше 50 с таким содержанием:
 
<source lang="javascript">
polkit.addAdminRule(function(action, subject) {
        return ["unix-user:root"];
});
</source>


=== Правила polkit ===
=== Правила polkit ===
Строка 47: Строка 63:


<source lang="bash">
<source lang="bash">
mcedit /etc/polkit-1/rules.d/55-mount.rules
mcedit /etc/polkit-1/rules.d/99-vashe_pravilo.rules
</source>
</source>


Строка 65: Строка 81:
* вместо ''vashe_uslovie'': если нужно изменить поведение политики для одного пользователя пишем subject.user == '%username%', если для группы, то subject.isInGroup('%groupname%')
* вместо ''vashe_uslovie'': если нужно изменить поведение политики для одного пользователя пишем subject.user == '%username%', если для группы, то subject.isInGroup('%groupname%')
* ''polkit.Result.YES'' означает, что политика будет при выполнении условия правила предоставлять разрешение.
* ''polkit.Result.YES'' означает, что политика будет при выполнении условия правила предоставлять разрешение.
===Журналирование действий polkit===
Используя правила polkit можно также делать записи в системный журнал. Метод log() записывает сообщение в системный журнал.
Пример:
<source lang="javascript">
polkit.addRule(function(action, subject) {
    if (action.id == "действие") {
        polkit.log("action=" + action);
        polkit.log("subject=" + subject);
}
});
</source>
В параметре ''action'' передается объект с информацией о совершенном процессе и связанные с этим действием параметры (например, если запрошенное действие монтирование съемного диска, то в параметре action будут переданы серийный номер диска, его id, файловая система и т.д).
В параметре ''subject'' передается объект с информацией о пользователе, запустившем процесс.
Этот объект имеет следующие атрибуты:
* id – идентификатор процесса;
* user – имя пользователя;
* groups – список групп, в которые входит пользователь;
* seat – местонахождение субъекта (пустое значение, если местонахождение не локальное);
* session – сессия субъекта;
* local – true, только если местонахождение имеет локальный характер;
* active – true, только если сеанс активен.


=== Примеры ===
=== Примеры ===
Пользователи часто жалуются на необходимость вводить пароль при монтировании разделов в файловом менеджере и создании нового подключения в NetworkManager. За эти разрешения отвечают соответственно org.freedesktop.udisks2.filesystem-mount-system и org.freedesktop.NetworkManager.settings.modify.system Сделаем так, чтобы если пользователь находится в системной группе xgrp, то для него запросы пароля не должны будут выполняться для этих действий. Для этого (все действия выполняются от root):
Пользователи часто жалуются на необходимость вводить пароль при монтировании разделов в файловом менеджере и создании нового подключения в NetworkManager, а также невозможность извлечь usb-флэш или лоток оптического привода. За эти разрешения отвечают:
 
''org.freedesktop.udisks2.filesystem-mount-system'' - разрешение на монтирование файловых систем системных устройств
 
''org.freedesktop.udisks2.filesystem-mount-other-seat'' - разрешение на монтирование файловых систем с устройств подключенных в другое место
 
''org.freedesktop.udisks2.eject-media-other-seat'' - разрешение на извлечение лотка оптического привода
 
''org.freedesktop.udisks2.power-off-drive-other-seat'' - разрешение на извлечение usb-флеш
 
''org.freedesktop.NetworkManager.settings.modify.system'' - разрешение на создание и модификацию системных сетевых соединений
 
 
{{note|Устройства хранения информации, делятся на системные, которые не считаются извлекаемыми, и не-системные, к которым относятся USB подключаемые накопители, Flash медиа и оптические приводы. Для каждой из групп устройств, системных и не-системных (т.н. извлекаемых - removable), для одной операции часто нужно два polkit actions, по одному на группу устройств.
 
Чтобы узнать является ли устройство системным, на которые распространяется действие ''org.freedesktop.udisks2.filesystem-mount-system'', выполните сначала команду, которая выведет все подключенные накопители:
 
<source lang="bash">
udisksctl status
</source>
 
Затем команду с именем вашего устройства. Например ''/dev/sdb''. Статус ''true'' для ''HintSystem'', в выводе команды говорит, что это системное устройство:
 
<source lang="bash">
udisksctl info -b /dev/sdb|grep ' Device:\|HintSystem'
    Device:                    /dev/sdb
    HintSystem:                true
</source>
 
Для несистемных устройств, на которые распространяется действие ''org.freedesktop.udisks2.filesystem-mount-other-seat'', для ''HintSystem'' статус будет ''false''}}
 
====Монтирование раздела и создание нового подключения без  запроса пароля====
Сделаем так, чтобы если пользователь находится в системной группе xgrp, то для него запросы пароля не должны будут выполняться для этих действий. Для этого (все действия выполняются от root):


1. Создать два правила 99-udisk2_mount.rules и 99-networkmanager.rules
1. Создать два правила 99-udisk2_mount.rules и 99-networkmanager.rules
Строка 82: Строка 155:
return polkit.Result.YES;
return polkit.Result.YES;
};
};
if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat" && subject.isInGroup("xgrp")) {
return polkit.Result.YES;
};
        if (action.id == "org.freedesktop.udisks2.eject-media-other-seat" && subject.isInGroup("xgrp")) {
        return polkit.Result.YES;
        };
        if (action.id == "org.freedesktop.udisks2.power-off-drive-other-seat" && subject.isInGroup("xgrp")) {
        return polkit.Result.YES;
        };
});
});
</source>
</source>
Строка 95: Строка 177:
</source>
</source>


4. Создать системную группу xgrp (Если её ещё нет):
4. Создать системную группу xgrp (если её ещё нет):


<source lang="bash">
<source lang="bash">
Строка 108: Строка 190:


6. Перелогиниться
6. Перелогиниться
====Монтирование раздела и создание нового подключения с запросом пароля====
Пример создания правила, разрешающего пользователю выполнять монтирование и извлечение устройств — с запросом пароля (при указании polkit.Result.AUTH_SELF — будет запрошен пароль текущего пользователя, polkit.Result.AUTH_ADMIN — администратора). При подключении съемного устройства записывать в системный журнал какое устройство было подключено и каким пользователем:
#Создать правило 99-udisk2_mount.rules:
#:<source lang="text" lang="bash">
touch /etc/polkit-1/rules.d/99-udisk2_mount.rules
</source>
#Наполнить 99-udisk2_mount.rules таким содержанием:
#:<source lang="javascript">polkit.addRule(function(action, subject) {
        polkit.log("action "+ action);
        polkit.log("subject "+ subject);
        if (action.id == "org.freedesktop.udisks2.filesystem-mount-system") {
            return polkit.Result.AUTH_SELF;
        };
        if (action.id == "org.freedesktop.udisks2.filesystem-mount") {
            return polkit.Result.AUTH_SELF;
        };
        if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seats") {
            return polkit.Result.AUTH_SELF;
        };
});
</source>
#Перелогиниться.
При монтировании USB-диска в системном журнале появятся записи:
<source lang="bash">
Nov 22 12:57:12 host-15 polkitd[9879]: /etc/polkit-1/rules.d/99-udisk2_mount.rules:4: action [Action id='org.freedesktop.udisks2.filesystem-mount-system' id.version='FAT32' id.usage='filesystem' drive.serial='11101094E6BA1A00A4A5200A' id.label='ALT p8 xfce/x86_64' partition.flags='0x00000000' polkit.gettext_domain='udisks2' drive='UFD 2.0 Silicon-Power4G (/dev/sdb1)' partition.number='1' id.uuid='F076-C625' drive.vendor='UFD 2.0' device='/dev/sdb1' id.type='vfat' partition.type='0x0b' polkit.message='Authentication is required to mount $(drive)' drive.revision='PMAP' drive.model='Silicon-Power4G']
Nov 22 12:57:13 host-15 polkitd[9879]: /etc/polkit-1/rules.d/99-udisk2_mount.rules:5: subject [Subject pid=4673 user='test' groups= uucp,proc,cdrom,floppy,cdwriter,audio,radio,users,scanner,xgrp, vmusers,audit_group,audit1,test, seat='seat0' session='5' local=true active=true]
</source>
Таким образом, в системном журнале зарегистрировано, что usb-диск с серийным номером ''11101094E6BA1A00A4A5200A'' был подключен пользователем test.
Просмотреть факты подключения конкретного носителя, можно выполнив команду:
<source lang="bash">
journalctl |grep  "drive.serial='11101094E6BA1A00A4A5200A'"
</source>


=== Ссылки ===
=== Ссылки ===
Строка 115: Строка 237:
2. [http://lampslave.ru/2-words-about-polkit/ Пара слов о polkit]
2. [http://lampslave.ru/2-words-about-polkit/ Пара слов о polkit]


[[Категория:admin]]
3. [http://udisks.freedesktop.org/docs/latest/udisks-polkit-actions.html Отличие системных устройств от извлекаемых (англ.яз.)]
 
[[Категория:Admin]]
{{Category navigation|title=Системному администратору|category=Admin|sortkey={{SUBPAGENAME}}}}

Версия от 12:40, 14 июня 2019

Polkit

Polkit (прежнее название: PolicyKit) — библиотека для UNIX-подобных операционных систем. API библиотеки используется для предоставления непривилегированным процессам возможности выполнения действий, требующих прав администратора. Использование Polkit противопоставляется использованию таких систем, как sudo, но не наделяет процесс пользователя правами администратора, а позволяет точно контролировать, что разрешено, а что запрещено.

Политики polkit

Все политики находятся в /usr/share/polkit-1/actions/ в формате *.policy Каждая политика представляет собой xml-файл, в котором описываются запросы к polkit. Каждый запрос имеет три условия, прописанных в секции defaults:

1. Запрос от любого пользователя. Тег <allow_any>

2. Запрос от неактивного пользователя. Тег <allow_inactive>

3. Запрос от активного пользователя <allow_active>

Внутри каждого тега прописывается возвращаемое значение. Используются следующие варианты значений:

  • yes - предоставить разрешения
  • no - заблокировать разрешения
  • auth_self - пользователь должен ввести свой пароль для аутентификации
  • auth_self_keep_session - пользователь должен ввести свой пароль для аутентификации один раз за сессию, разрешение предоставляется для всей сессии
  • auth_self_keep_always - пользователь должен ввести свой пароль для аутентификации один раз, разрешение предоставляется для текущей и будущих сессий
  • auth_admin - пользователь должен ввести пароль admin при каждом запросе
  • auth_admin_keep_session - пользователь должен ввести пароль admin, разрешение предоставляется для всей сессии
  • auth_admin_keep_always - пользователь должен ввести пароль admin, разрешение предоставляется для текущей и будущих сессий

admin - в Альт Линукс определён в правиле /etc/polkit-1/rules.d/50-default.rules:

polkit.addAdminRule(function(action, subject) {
        return ["unix-group:wheel"];
});

По-умолчанию, запрашивается пароль пользователя, находящегося в группе wheel. Для того, чтобы запрашивался пароль root необходимо добавить правило с цифрами вначале имени больше 50 с таким содержанием:

polkit.addAdminRule(function(action, subject) {
        return ["unix-user:root"];
});

Правила polkit

Менять напрямую политики нельзя, так как при обновлении системы они затрутся. Необходимо создавать собственные правила в /etc/polkit-1/rules.d/ в формате *.rules. Правила выполняются в порядке названия по алфавиту, поэтому вначале пишутся цифры, чтобы указать приоритет правила. Алгоритм создания правила (все действия выполняются от root):

1. Для начала определяем какую политику мы хотим изменить, для этого находим в /usr/share/polkit-1/actions/ требуемую.

2. Создаём новое правило:

touch /etc/polkit-1/rules.d/99-vashe_pravilo.rules

3. Открываем на редактирование созданный файл:

mcedit /etc/polkit-1/rules.d/99-vashe_pravilo.rules

4. Вставляем такой текст:

 polkit.addRule(function(action, subject) {
	if (action.id == "policy" && vashe_uslovie {
		return polkit.Result.YES;
	};
});

где

  • вместо policy пишем название политики, поведение которой нужно изменить
  • вместо vashe_uslovie: если нужно изменить поведение политики для одного пользователя пишем subject.user == '%username%', если для группы, то subject.isInGroup('%groupname%')
  • polkit.Result.YES означает, что политика будет при выполнении условия правила предоставлять разрешение.

Журналирование действий polkit

Используя правила polkit можно также делать записи в системный журнал. Метод log() записывает сообщение в системный журнал. Пример:

polkit.addRule(function(action, subject) {
    if (action.id == "действие") {
        polkit.log("action=" + action);
        polkit.log("subject=" + subject);
}
});

В параметре action передается объект с информацией о совершенном процессе и связанные с этим действием параметры (например, если запрошенное действие монтирование съемного диска, то в параметре action будут переданы серийный номер диска, его id, файловая система и т.д).

В параметре subject передается объект с информацией о пользователе, запустившем процесс. Этот объект имеет следующие атрибуты:

  • id – идентификатор процесса;
  • user – имя пользователя;
  • groups – список групп, в которые входит пользователь;
  • seat – местонахождение субъекта (пустое значение, если местонахождение не локальное);
  • session – сессия субъекта;
  • local – true, только если местонахождение имеет локальный характер;
  • active – true, только если сеанс активен.


Примеры

Пользователи часто жалуются на необходимость вводить пароль при монтировании разделов в файловом менеджере и создании нового подключения в NetworkManager, а также невозможность извлечь usb-флэш или лоток оптического привода. За эти разрешения отвечают:

org.freedesktop.udisks2.filesystem-mount-system - разрешение на монтирование файловых систем системных устройств

org.freedesktop.udisks2.filesystem-mount-other-seat - разрешение на монтирование файловых систем с устройств подключенных в другое место

org.freedesktop.udisks2.eject-media-other-seat - разрешение на извлечение лотка оптического привода

org.freedesktop.udisks2.power-off-drive-other-seat - разрешение на извлечение usb-флеш

org.freedesktop.NetworkManager.settings.modify.system - разрешение на создание и модификацию системных сетевых соединений


Примечание: Устройства хранения информации, делятся на системные, которые не считаются извлекаемыми, и не-системные, к которым относятся USB подключаемые накопители, Flash медиа и оптические приводы. Для каждой из групп устройств, системных и не-системных (т.н. извлекаемых - removable), для одной операции часто нужно два polkit actions, по одному на группу устройств.

Чтобы узнать является ли устройство системным, на которые распространяется действие org.freedesktop.udisks2.filesystem-mount-system, выполните сначала команду, которая выведет все подключенные накопители:

udisksctl status

Затем команду с именем вашего устройства. Например /dev/sdb. Статус true для HintSystem, в выводе команды говорит, что это системное устройство:

udisksctl info -b /dev/sdb|grep ' Device:\|HintSystem'
    Device:                     /dev/sdb
    HintSystem:                 true
Для несистемных устройств, на которые распространяется действие org.freedesktop.udisks2.filesystem-mount-other-seat, для HintSystem статус будет false


Монтирование раздела и создание нового подключения без запроса пароля

Сделаем так, чтобы если пользователь находится в системной группе xgrp, то для него запросы пароля не должны будут выполняться для этих действий. Для этого (все действия выполняются от root):

1. Создать два правила 99-udisk2_mount.rules и 99-networkmanager.rules

touch /etc/polkit-1/rules.d/99-udisk2_mount.rules /etc/polkit-1/rules.d/99-networkmanager.rules

2. Наполнить 99-udisk2_mount.rules таким содержанием:

polkit.addRule(function(action, subject) {
	if (action.id == "org.freedesktop.udisks2.filesystem-mount-system" && subject.isInGroup("xgrp")) {
		return polkit.Result.YES;
	};
	if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seat" && subject.isInGroup("xgrp")) {
		return polkit.Result.YES;
	};
        if (action.id == "org.freedesktop.udisks2.eject-media-other-seat" && subject.isInGroup("xgrp")) {
        	return polkit.Result.YES;
        };
        if (action.id == "org.freedesktop.udisks2.power-off-drive-other-seat" && subject.isInGroup("xgrp")) {
        	return polkit.Result.YES;
        };
});

3. Наполнить 99-networkmanager.rules таким содержанием:

polkit.addRule(function(action, subject) {
	if (action.id == "org.freedesktop.NetworkManager.settings.modify.system" && subject.isInGroup("xgrp")) {
		return polkit.Result.YES;
	};
});

4. Создать системную группу xgrp (если её ещё нет):

groupadd -r xgrp

5 Добавить пользователя в группу xgrp:

gpasswd -a имя_пользователя xgrp

6. Перелогиниться

Монтирование раздела и создание нового подключения с запросом пароля

Пример создания правила, разрешающего пользователю выполнять монтирование и извлечение устройств — с запросом пароля (при указании polkit.Result.AUTH_SELF — будет запрошен пароль текущего пользователя, polkit.Result.AUTH_ADMIN — администратора). При подключении съемного устройства записывать в системный журнал какое устройство было подключено и каким пользователем:

  1. Создать правило 99-udisk2_mount.rules:
    touch /etc/polkit-1/rules.d/99-udisk2_mount.rules
    
  2. Наполнить 99-udisk2_mount.rules таким содержанием:
    polkit.addRule(function(action, subject) {
            polkit.log("action "+ action);
            polkit.log("subject "+ subject);
            if (action.id == "org.freedesktop.udisks2.filesystem-mount-system") {
                return polkit.Result.AUTH_SELF;
            };
            if (action.id == "org.freedesktop.udisks2.filesystem-mount") {
                return polkit.Result.AUTH_SELF;
            };
            if (action.id == "org.freedesktop.udisks2.filesystem-mount-other-seats") {
                return polkit.Result.AUTH_SELF;
            };
     });
    
  3. Перелогиниться.

При монтировании USB-диска в системном журнале появятся записи:

Nov 22 12:57:12 host-15 polkitd[9879]: /etc/polkit-1/rules.d/99-udisk2_mount.rules:4: action [Action id='org.freedesktop.udisks2.filesystem-mount-system' id.version='FAT32' id.usage='filesystem' drive.serial='11101094E6BA1A00A4A5200A' id.label='ALT p8 xfce/x86_64' partition.flags='0x00000000' polkit.gettext_domain='udisks2' drive='UFD 2.0 Silicon-Power4G (/dev/sdb1)' partition.number='1' id.uuid='F076-C625' drive.vendor='UFD 2.0' device='/dev/sdb1' id.type='vfat' partition.type='0x0b' polkit.message='Authentication is required to mount $(drive)' drive.revision='PMAP' drive.model='Silicon-Power4G']
Nov 22 12:57:13 host-15 polkitd[9879]: /etc/polkit-1/rules.d/99-udisk2_mount.rules:5: subject [Subject pid=4673 user='test' groups= uucp,proc,cdrom,floppy,cdwriter,audio,radio,users,scanner,xgrp, vmusers,audit_group,audit1,test, seat='seat0' session='5' local=true active=true]

Таким образом, в системном журнале зарегистрировано, что usb-диск с серийным номером 11101094E6BA1A00A4A5200A был подключен пользователем test.

Просмотреть факты подключения конкретного носителя, можно выполнив команду:

journalctl |grep  "drive.serial='11101094E6BA1A00A4A5200A'"

Ссылки

1. Polkit. Статья в Википедии

2. Пара слов о polkit

3. Отличие системных устройств от извлекаемых (англ.яз.)