Vertrauensfrage

Policykit unterscheidet, ob sich der Benutzer lokal angemeldet beziehungsweise sich überhaupt angemeldet hat ("Active Console" beziehungsweise "Console" oder "Anyone"). Schon das Beschränken auf lokale Anmeldungen reduziert die Angriffsmöglichkeiten erheblich. Bei der Anmeldung ("Authentication") legen Sie zusätzlich fest, ob nur Administratorkonten berechtigt sind ("Admin Authentication"). Die Freigabe lässt sich zudem zeitlich einschränken (Abbildung 2). So gibt es folgenden Varianten:

  • die einmalige Freigabe ("one shot"),
  • die Freigabe durch das Passwort ("Authentication"),
  • für eine Sitzung ("keep session"),
  • nach einmaliger Authentisierung dauerhaft ("keep indefinitly") und
  • die Freigabe durch die Anmeldung am System ("Yes").
Abbildung 2: Policykit bietet eine Vielzahl verschiedener Authentisierungsmöglichkeiten für privilegierte Aufgaben.

Systemkonfigurationen, etwa die Netzwerkeinstellungen, erkennt das Programm als eine Aktion »org.freedesktop.systemtoolsbackend.set« , die nur der Administrator entsperren darf. Den Passwortdialog bietet es daher auch nur solchen Benutzern an, die über Administrationsrechte verfügen. Obwohl auf dem System der Benutzer »fred« existiert (Abbildung 3), wird nur der Administrator »marcus« im Dropdown-Menü angezeigt.

Abbildung 3: Systemverwaltungsaufgaben, etwa das Ändern der Netzwerkeinstellungen, bleibt Anwendern mit administrativen Rechten vorbehalten. Normale Benutzer zeigt Policykit in der Auswahlliste nicht an.

Verwaltungsoberfläche

Sie starten die Verwaltungsoberfläche über »System« | »Systemverwaltung« | »Authorizations« (Abbildung 4). Alternativ verwenden Sie den Aufruf »polkit-gnome-authorization« im Terminal. KDE fehlt derzeit eine grafische Konfiguration für Policykit – alle Einstellungen nehmen Sie dort mit Kommandozeilenprogrammen vor, die der Abschnitt "Klicklos" näher beschreibt.

Abbildung 4: Die Konfigurationsoberfläche von Gnome erleichtert das Einstellen der Berechtigungen von Policykit erheblich, weist aber – speziell auf Programmebene – noch erhebliche Defizite auf.

Policykit verwaltet die Autorisierungen und die entsprechenden Aktionen für die Steuerung der Hardware (HAL), Einstellungen für Policykit selbst (»policykit« ) und für die Systemprogramme (»systemtoolsbackend« ). Die Gruppe »clockapplet« zeichnet für die Einstellungen der Systemzeit zuständig. Die verschiedenen Aktionen sind in einer an die Organisationsstruktur von Freedesktop.org [2] angelehnten Baumstruktur angeordnet. Nach Anwahl einer Rubrik erscheinen im rechten Teil Informationen und die Einstellungsoptionen.

Die Einstellungen unterscheiden implizite und explizite Autorisierungen. Implizite Autorisierungen werden automatisch durch die Art der Anfrage erteilt, beispielsweise von der lokalen Konsole. Explizite Autorisierungen erteilt Policykit, indem der Anwender sich mit seinem Passwort authentisiert oder mit »Grant...« die entsprechende Berechtigung bekommen. Während ein Klick auf den Button »Block...« einzelne Autorisierungen zurücknimmt, setzt »Revoke« alle erteilten Berechtigungen der ausgewählten Aktion zurück.

Neben den Freedesktop.org-Schnittstellen verwaltet Policykit das Gnome-Uhren-Applet für die Uhrzeit im Panel. Sie finden es im Pfad »org« | »gnome« | »clockapplet« | »mechanism« . In der Grundeinstellung dürfen alle lokal angemeldete Benutzer nach Eingabe ihres Passworts die Systemzeitzone über das Uhrzeit-Applet verändern (Abbildung 5). Da für die Aktion »Authentication (keep indefinitely)« eingestellt ist, bleibt die Autorisierung auch nach dem Beenden der Sitzung oder einem Neustart des Rechners erhalten.

Abbildung 5: Erst nach der Eingabe des Passworts ist der Anwender berechtigt, die Zeitzone zu wechseln.

In der Standardkonfiguration dürfen normale Benutzer unter anderem Wechseldatenträger einbinden und auswerfen, das System herunterfahren oder das WLAN an- und ausschalten.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019