pkexecの構成方法は?


32

これらの質問と回答を読む:

そのコマンドの新規ユーザーに問題を引き起こす別のものをもたらしました:

  • pkexec簡単に使用できるように設定する方法は?

たとえば、次の場合:

(ターミナルでファイルを開く)

pkexec nano /etc/mysql/my.cnf  

(GUIでファイルを開く)

pkexec gedit /etc/mysql/my.cnf  

最後のものは次のエラーを受け取ります:

 pkexec must be setuid root

今、これは私に次の質問をもたらしました:

  1. pkexecこれを避けるための設定方法は?同じことをするときのsudo/ gksu動作に似ています(パスワードのみを要求します)。

  2. 該当する場合、最初にコマンドにパスワードを適用した後(または構成可能な場合は最初のコマンドを含む)、パスワードを要求しないようにするにはどうすればよいですか?

  3. まだ存在しない場合、構成ファイルをどこに保存しますか?

  4. pkexec使用法を構成するGUIアプリ(ポリシーキット)はありますか?


1
この点で、Ubuntuが13.04にこの点でビジネスの面倒を見ているので、これがgeditとnautilusで私がやっていることです。ここでは問題なく動作しますが、Ubuntuが面倒を見るまでは私のソリューションであるため、回答として投稿しません。ubuntuforums.org/...
ダグ

うーん、コメントを追加できません-回答に頼らなければなりません...使用:alias pkexec = 'pkexec env DISPLAY = $ DISPLAY XAUTHORITY = $ XAUTHORITY'ログインguiがコマンドではなくenvのパスを返すことを意味します最終的に実行されます。「env DISPLAY = $ DISPLAY XAUTHORITY = $ XAUTHORITY」の使用を手配して、pkexec guiが最終的に実行されるコマンドのパスを返すようにする方法はありますか?ここにPICを参照してください:polkit認証ダイアログボックスを

回答:


39

pkexecGUIアプリケーションの実行時にエラーが発生しないように構成するにはどうすればよいですか?

私は2つの可能な方法を見つけました:

  1. ご覧のとおり、以下を使用します。

    pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY gedit
    

    エラーは発生しません。このことman pkexecは非常に明確であるため、これは正常です。

           [...] pkexec will not allow you to run X11 applications
           as another user since the $DISPLAY and $XAUTHORITY environment
           variables are not set.[...]
    

    その結果、(永続的な)エイリアスを作成できます(これが最も簡単な方法です):

    alias pkexec='pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY'
    
  2. または、(再び)man pkexec言うように:

           [...] These two variables will be retained if the
           org.freedesktop.policykit.exec.allow_gui annotation on an action is set
           to a nonempty value; this is discouraged, though, and should only be
           used for legacy programs.[...]
    

    新しいポリシーファイルを作成できます /usr/share/polkit-1/actionscom.ubuntu.pkexec.gedit.policy最も重要なことはorg.freedesktop.policykit.exec.allow_gui空でない値に設定することである内部の次のxmlコード名前付き。

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE policyconfig PUBLIC
      "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
      "http://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd">
    <policyconfig>
    
      <action id="com.ubuntu.pkexec.gedit">
        <message gettext-domain="gparted">Authentication is required to run gedit</message>
        <icon_name>gedit</icon_name>
        <defaults>
          <allow_any>auth_admin</allow_any>
          <allow_inactive>auth_admin</allow_inactive>
          <allow_active>auth_admin</allow_active>
        </defaults>
        <annotate key="org.freedesktop.policykit.exec.path">/usr/bin/gedit</annotate>
        <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
      </action>
    
    </policyconfig>
    

コマンドに最初に適用した後にパスワードを要求しないようにするにはどうすればよいですか?

これら3つの設定タグの場合: allow_anyallow_inactiveおよびallow_activeポリシーファイルから、次のオプションを使用できます。

  • no:ユーザーはアクションを実行する権限がありません。したがって、認証の必要はありません。
  • yes:ユーザーには、認証なしでアクションを実行する権限があります。
  • auth_self:認証が必要ですが、ユーザーは管理ユーザーである必要はありません。
  • auth_admin:管理ユーザーとしての認証が必要です。
  • auth_self_keep:同じauth_selfが、sudo認証のように数分間続きます。
  • auth_admin_keepauth_adminと同じですが、sudoに、承認は数分続きます。

     ソース: Polkit-構造-アクション

そのため、auth_admin_keepオプションを使用する場合(または、必要に応じて応じてauth_self_keepしばらくpkexecの間パスワードの再入力を求められません(デフォルトでは、この時間はチェックしたとおり 5分に設定されています)。ここでの欠点は、このことは1つだけ-同じ-コマンド/アプリケーションに適用でき、すべてのユーザーに有効であることです(後の構成で無効にされない限り)。

まだ存在しない場合、構成ファイルをどこに保存しますか?

構成ファイルまたはpolkit定義は、2種類に分類できます。

  • アクションは、にあるXML .policyファイルで定義されます/usr/share/polkit-1/actions。各アクションには、一連のデフォルトのパーミッションが関連付けられています(たとえば、GPartedアクションを使用するには、管理者として識別する必要があります)。デフォルトは無効にできますが、アクションファイルの編集は正しい方法ではありません。このポリシーファイルの名前の形式は次のとおりです。

    com.ubuntu.pkexec.app_name.policy
  • 承認規則はJavaScript .rulesファイルで定義されます。それらは2つの場所にあります:サードパーティのパッケージは使用できます/usr/share/polkit-1/rules.d(使用する場合はほとんどありません)および/etc/polkit-1/rules.dローカル構成用です。.rulesファイルはユーザーのサブセットを指定し、アクションファイルで指定された1つ(または複数)のアクションを参照し、そのユーザーがこれらのアクションを実行できる制限を決定します。例として、ルールファイルは、GPartedを使用するときに管理者として認証するすべてのユーザーのデフォルト要件を無効にし、特定のユーザーが不要であると判断することができます。または、GPartedを使用することはまったく許可されていません。

     ソース:Polkit-構造

pkexec使用を構成するGUIアプリケーションはありますか?

私が知っていることから、今まで(2014年1月18日)このようなものは存在しません。将来私が何かを見つけたら、この答えも更新することを忘れないでしょう。


4
なんて美しい答え!! 大いに感謝する。これでdoublecmd、環境をエクスポートする必要があったので、ルート特権で実行できなかった理由がわかりましたDISPLAY & XAUTHORITY。ちょっとした質問:ポリシーを書くことと、pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY doublecmd常にコマンドを使用してプログラムを実行することに何か違いはありますか?
イリアロストフツェフ

@IliaRostovtsevこれは私が考えている、このようなエイリアスを介して実行するかのようにpkexec安全ではなくなるgksudoだろうか?エイリアスの代わりに、ルート特権を持つスクリプトである可能性がありますが、より安全でしょうか?
アクエリアスパワー14年

@AquariusPowerどのようにして、それが安全でなくなる可能性がありますか?もちろん試してみることもできますが、よくわかりません。この問題は、「あなた」の下で実行されるGUI(Xサーバー)と、rootとして実行する必要がある別のGUIプログラムを使用する必要がある場合に発生します。あなたが何かを見つけた場合に備えて、遊んで、ポストバックしてください。
イリアロストフツェフ14年

@radu-rădeanuOn Utopic auth_admin_keepは機能していないようです。guiからsynapticを起動すると(これはに相当pkexec synaptic)、毎回パスワードを要求されます。理由は何ですか?
ルシッドアラム14年


0

Raduの答えに加えて、エイリアスpkexecではなくgksudoを使用します。

どうして? スクリプトを書き直す必要はありません。

次の構成を使用します。

  • ターミナルを開く
  • cd /usr/local/bin
  • sudo gedit gksudo (「gksudo」という名前の新しいファイルを作成します
  • 次のコンテンツを作成します。

    • pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY $@

    • $@最後にあることを忘れないでください。これはすべてのパラメータをリダイレクトするためです)

  • 保存して終了

  • ファイルを実行可能にします。 chmod 755 gksudo
  • これで、システム上で完全に機能するgksudoコマンドを使用できるようになります(永続的に)。

ドキュメンテーション上の理由から、私が試したものとうまくいかなかったものを書きます。

  • エイリアスpkexec = 'pkexec env [...]'
  • エイリアスgksudo = 'pkexec [...]'
    • 恒久的なものではなく、1つのターミナルにとどまった
  • エイリアスを追加する ~/.bash_aliases
    • 最初に端末を開いた場合に機能します。スクリプトをダブルクリックすると機能しません
  • パラメーターを使用してpkexecへのリンクを作成します( ln -s pkexec [...]
    • クイックグーグルの後、Linuxはリンクのパラメータをサポートしていないようです
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.