...
Polkit (ранее известный как PolicyKit) – система авторизации, которая решает: разрешить или запретить запрашиваемое пользователем действие, требующее повышенных привилегий. При этом сам пользователь не наделяется повышенными привилегиями, что отличается, например, от программы sudo. В каких-то случаях для принятия решения polkit может запросить у пользователя его пароль или пароль привилегированного пользователя.
... позволяющий непривилегированным пользователям (процессам) инструмент для управления авторизацией. Он позволяет непривилегированным процессам выполнять действия, требующие права администратора. При этом непривилегированные пользователи (процессы) не наделяются правами администратора, что отличается от программы sudo.
Официальная документация расположена на странице "polkit Reference Manual".
В набор программ polkit входят:
| Программа | Описание |
|---|---|
| polkit | Менеджер авторизации. Является динамической библиотекой |
| polkitd | Системная служба polkitd |
| pkcheck | Программа для проверки того, что определённому процессу дано право выполнять определённое действие в операционной системе |
| pkaction | Программа для вывода информации о зарегистрированном действии |
| pkexec | Программа для выполнения команды от имени другого пользователя |
| pkttyagent | Текстовой агент аутентификации |
Алгоритм работы polkit:
- Пользователь непривилегированной программы обращается (вызывает) к привилегированной программе для выполнения какого-либо действия, требующего привилегий (прав администратора).
- Для проверки права пользователя на выполнение действия – привилегированная программа обращается к системной службе polkitd.
- Системная служба polkitd исходя из хранящихся правил и действий:
- при необходимости с помощью агента аутентификации запрашивает у пользователя его пароль или пароль привилегированного пользователя;
- определяет разрешено ли пользователю выполнять запрашиваемое действие в привилегированной программе. - Системная служба polkitd отвечает привилегированной программе: разрешается или нет выполнить для пользователя запрошенное действие.
- Если от polkitd получено разрешение, то привилегированная программа выполняет действие, запрошенное пользователем.
Схема работы polkit
Использование polkit приложениями
Для каждой привилегированной программы должен храниться файл *.policy, в котором описаны возможные действия, выполняемые программой.
Схема работы polkit
Использование polkit приложениями
Агенты аутентификации
Журналирование
...