polkit

[Olej]

Polkit

Polkit (прежнее название: PolicyKit) — библиотека для UNIX-подобных операционных систем. API библиотеки используется для предоставления непривилегированным процессам возможности выполнения действий, требующих прав администратора. Использование Polkit противопоставляется использованию таких систем, как sudo, но не наделяет процесс пользователя правами администратора, а позволяет точно контролировать, что разрешено, а что запрещено.

Polkit используется в следующих дистрибутивах ОС Linux:

• Ubuntu (с версии 8.04);
• Fedora (с версии 8);
• OpenSUSE (с версии 10.3);
• Slackware (с версии 13.1).

Код: Выделить всё

[olej@dell ~]$ lsb_release -ircd
Distributor ID: Fedora
Description:    Fedora release 23 (Twenty Three)
Release:        23
Codename:       TwentyThree

Код: Выделить всё

[olej@dell ~]$ ps -A | grep polkit
  979 ?        00:00:02 polkitd
 1626 ?        00:00:01 polkit-gnome-au

[olej@dell ~]$ service polkit status
Redirecting to /bin/systemctl status  polkit.service
● polkit.service - Authorization Manager
   Loaded: loaded (/usr/lib/systemd/system/polkit.service; static; vendor preset: enabled)
   Active: active (running) since Пн 2016-05-23 09:49:40 EEST; 3 days ago
     Docs: man:polkit(8)
 Main PID: 979 (polkitd)
   CGroup: /system.slice/polkit.service
           └─979 /usr/lib/polkit-1/polkitd --no-debug

май 23 09:49:39 dell.localdomain systemd[1]: Starting Authorization Manager...
май 23 09:49:40 dell.localdomain polkitd[979]: Started polkitd version 0.113
май 23 09:49:40 dell.localdomain polkitd[979]: Loading rules from directory /etc/polkit-1/rules.d
май 23 09:49:40 dell.localdomain polkitd[979]: Loading rules from directory /usr/share/polkit-1/rules.d
май 23 09:49:40 dell.localdomain polkitd[979]: Finished loading, compiling and executing 6 rules
май 23 09:49:40 dell.localdomain systemd[1]: Started Authorization Manager.
май 23 09:49:40 dell.localdomain polkitd[979]: Acquired the name org.freedesktop.PolicyKit1 on the system bus
май 23 09:50:11 dell.localdomain polkitd[979]: Registered Authentication Agent for unix-session:1 (system bus name :1.43 [/usr/l...U.utf8)
Hint: Some lines were ellipsized, use -l to show in full.

[Olej]

PolicyKit - создание собственных правил

Автор: А. Ракитин
Дата публикации: март 2015 г.
PolicyKit - создание собственных правил

PolicyKit присутствует практически в любом современном дистрибутиве Linux. Он является хорошо отлаженной частью операционной системы и в то же время постоянно развивается вместе с ней. Как правило, работа PolicyKit почти незаметна для пользователя и редко требует вмешательства.

PolicyKit служит одним из способов временной и частичной передачи административных полномочий обычному, непривилегированному пользователю. Для похожих целей существуют и другие программные средства, например, sudo. Но, в отличие от sudo, PolicyKit не предоставляет администраторских полномочий на весь процесс, а следует принципу минимальных разрешений. Другими словами, он дает права суперпользователя только для выполнения конкретного действия.

Работает это следующим образом. Любой запрос на выполнение действия в системном контексте, поступивший от работающего пользовательского процесса, отслеживается с помощью PolicyKit. В соответствии с имеющимися правилами PolicyKit принимает решение о том, может ли быть выполнено это действие, и, если может, то - при выполнении каких условий. Это решение - запрет, разрешение или разрешение с условием - передается системной программе, которая затем действует соответствующим образом. Другими словами, хотя непривилегированный пользовательский процесс (Subject) и привилегированный системный процесс (Mechanism) общаются между собой напрямую, решение принимает третья сторона - PolicyKit.