# [solved] polkit ignoriert meine Regel

## schmidicom

PS: Ich bin im Moment ziemlich angepisst also nicht wundern wenn das hier gleich etwas ausdrucksstärker ausfällt als normalerweise.

Wie der Titel schon sagt ignoriert dieses elende Stück sch***** namentlich bekannt als polkit (wobei man es auch gleich "Die UAC nachmache ala Windoof" hätte nennen können) seit neustem meine Regel (siehe weiter unten) die dafür sorgen soll das jeder User der in der Gruppe "root" mitglied ist automatisch jede und ich meine wirklich JEDE Aktion ausführen darf ohne dauern von irgendeiner Meldung bezüglich Authentifizierung genervt zu werden.   :Evil or Very Mad: 

Meine Vermutung ist ja das sich hier bei einem Update was geändert hat aber leider spuckt Google diesbezüglich nichts brauchbares aus und die Manpage ist genauso nutzlos für mich da mein Englisch nicht reicht um alles zu verstehen was dort verzapft wird. Ausserdem habe ich auch wenig Lust mich mit diesem meinerseits unerwünschtem "Tool" auseinander zu setzen, was die Motivation die Manpage vollständig zu entziffern stark in grenzen hält.

Weis einer von euch Rat?

```
# cat /etc/polkit-1/localauthority/50-local.d/root-darf-alles.pkla

[Root Permissions]

Identity=unix-group:root

Action=*

ResultAny=no

ResultInactive=no

ResultActive=yes
```

Und falls einer bezüglich der Sicherheit was auszusetzen hat:

Ich weis selbst das dies nicht wirklich sicher ist aber wenn einem das verdammte polkit von udisks und anderen nicht aufgezwungen werden würde wäre ich auch nicht zu so etwas genötigt und wenn ich eine solche "Sicherheit" haben wollte hätte ich auch gleich mit SELinux anfangen können.Last edited by schmidicom on Tue Oct 23, 2012 8:35 am; edited 1 time in total

----------

## astaecker

Seit 0.106 nutzt polkit jetzt ".rules" Dateien, um Berechtigungen zu konfigurieren. Auch habe sich die Verzeichnisse geändert.

----------

## schmidicom

 *astaecker wrote:*   

> Seit 0.106 nutzt polkit jetzt ".rules" Dateien, um Berechtigungen zu konfigurieren. Auch habe sich die Verzeichnisse geändert.

 

Klasse! Echt Klasse... Und dann auch noch im XML Style geschrieben wie es aussieht.   :Evil or Very Mad: 

EDIT:

Ihr könnt euch gar nicht vorstellen wie liebend gern ich dem Erfinder dieser ..... zeigen würde was ich davon halte.

----------

## bell

Schmeiß es doch weg und nutze die klassischen "sudo", suid-Bit und POSIX Capabilities  :Wink: 

Bei mir sind die *kit-Blackboxes auch drauf. Und wo sie was anders machen als ich will, nutze ich klassisch Skripte mit sudo   :Laughing: 

----------

## schmidicom

 *bell wrote:*   

> Schmeiß es doch weg und nutze die klassischen "sudo", suid-Bit und POSIX Capabilities 
> 
> Bei mir sind die *kit-Blackboxes auch drauf. Und wo sie was anders machen als ich will, nutze ich klassisch Skripte mit sudo  

 

Ich verzichte bereits auf gvfs wegen dem Windows Registryfork gconf/dconf, was in einer Umgebung voller Windowsfreigaben alles andere als angenehm ist. Da soll wenigstens dieser polkit-Dreck ohne gros Aufwand genau das tun was ich will ansonsten könnte ich den X11 auch gleich deinstallieren und auf der Konsole weitermachen.

----------

## bell

Naja, um die Skripte zu starten musst Du nicht unbedingt auf die Console gehen. Beispiel von meinem Rechner: Udisks macht absolut nicht das was ich will. Also pflege ich die fstab, und nutze das XFCE "Geräte einhängen" Plugin (xfce4-mount-plugin). Dort kann ich eigene "mount" und "unmount" Skripte hinterlegen, die genau das tun was ich will, zB. bei einer verschlüsselten Partition ein Backup vor dem Aushängen anstoßen usw. In den Skripten wird "sudo" für bestimmte Funktionalitäten verwendet.

Es ließe sich sicherlich für jeden Zweck was bauen. zB. für Deinen Fall wäre 

```
%wheel ALL=(ALL) NOPASSWD: ALL
```

das richtige, btw Du willst es für die Gruppe "root", also 

```
%root ALL=(ALL) NOPASSWD: ALL
```

Damit darf jeder in Gruppe root alles ohne Passwort ausführen. Jetzt müssen für die betroffenen Programme irgend welche "Starter" angelegt werden. zB. als *.desktop Dateien oder so, um nicht auf Console gehen zu müssen.

----------

## schmidicom

Ich habe das jetzt (nach erzwungener auseinandersetzung mit einem System das ich eigentlich garnicht haben will) so gelöst:

```
# cat /etc/polkit-1/rules.d/root-darf-alles.rules

polkit.addRule(function(action, subject) {

               if (subject.isInGroup("root")) {

                   return polkit.Result.YES;

               }

           });
```

Damit wird jetzt scheinbar wieder jedem Benutzer der in der Gruppe root mitglied ist jede Aktion erlaubt die im polkit abgelegt wurde nicht nur die von udisks. Hoffentlich hat sich damit das Thema polkit auf meinem System nun für sehr lange Zeit erledigt.

----------

## schmidicom

Da polkit jetzt nur noch rules benutzt wäre eine Aktualisierung von dem hier vielleicht auch nicht verkehrt:

http://wiki.gentoo.org/wiki/XBMC#Shutdown

Da wird einem noch eine pkla Regel vorgeschlagen doch die funktioniert jetzt logischerweise auch nicht mehr.

----------

