...

Поставщик операционной системы и системный администратор могут изменить поведение системы авторизации с помощью правил авторизации.

Официальная документация расположена на странице странице "polkit Reference Manual".

В набор программ polkit входят:

Алгоритм работы системы авторизации polkit:

...

Агент аутентификации автоматически запускается при старте пользовательского сеанса.

Графический сеанс пользователя

Когда требуется аутентифицировать пользователя, открывается окно агента. В окне окне отображается информация для чего требуется ввести пароль, а также поле для ввода пароля пользователя.

Внешний вид агента зависит от рабочего стола пользователя. Так, в Astra Linux SE для рабочего стола Fly используется агент /usr/lib/x86_64-linux-gnu/libexec/polkit-kde-authentication-agent-1.

Image Modified
Рисунок 2. Окно агента аутентификации polkitаутентификации polkit-kde-authentication-agent-1

Если требуется ввести пароль пользователя, который не является текущим пользователем сеанса, то в окне также отображается пользователь, пароль которого требуется ввести.

Рисунок 3. Окно агента аутентификации polkit-kde-authentication-agent-1. Отображается пользователь, пароль которого требуется ввести.

При нажатии на кнопку "Подробности >>" отображается дополнительная информация о запрошенном действии.

Рисунок 4. Окно агента аутентификации polkit-kde-authentication-agent-1. Подробности

Описание действий, выполняемых программой

Вместе с привилегированной программой, поддерживающей polkit, устанавливается XML-файл "<адрес_получателя_на_D-BUS_шине>.policy". Где <адрес_получателя_на_D-BUS_шине> – это адрес получателя (путь объекта), под которым привилегированная программа регистрируется на системной шине D-BUS. Файл устанавливается в каталоге /usr/share/polkit-1/actions/. 

В policy-файле хранятся описания действий, которые может выполнить привилегированная программа. Название действия формируется как "<адрес_получателя_на_D-BUS_шине>.<действие>". 

...

Консольный сеанс пользователя

В консольном сеансе для аутентификации пользователя используется текстовый агент /usr/lib/polkit-1/polkit-agent-helper-1, входящий в пакет polkitd.
Текстовый агент выводит информацию о запрошенном действии, а также имя пользователя, чей пароль требуется ввести. Ниже отображается приглашение для ввода пароля.

Например, после ввода команды "hostnamectl hostname astra3" отобразится запрос на ввод пароля пользователя administrator:


==== AUTHENTICATING FOR org.freedesktop.hostname1.set-hostname

...

 ====
Чтобы настроить имя компьютера, необходимо пройти аутентификацию.
Authenticating as: administrator
Password: 

Описание действий, выполняемых программой

Для поиска policy-файлов, связанных программой можно использовать команду "dpkg -L <название_пакета>":

Команда отобразит policy-файлы, установленные для программ, входящих в пакет systemd:

...

Вместе с привилегированной программой, поддерживающей polkit, устанавливается XML-файл "<адрес_получателя_на_D-BUS_шине>.policy". Где <адрес_получателя_на_D-BUS_шине> – это адрес получателя (путь объекта), под которым привилегированная программа регистрируется на системной шине D-BUS. Файл устанавливается в каталоге

/usr/share/polkit-1/actions/

...

. 

В policy-файле хранятся описания действий, которые может выполнить привилегированная программа. Название действия формируется как "<адрес_получателя_на_D-BUS_шине>.<действие>". 

Пример названия файла: "org.freedesktop.hostname1.policy".
Пример названия действия: "org.freedesktop.hostname1.set-hostname".

Для поиска policy-файлов, связанных программой можно использовать команду "dpkg -L <название_пакета>":

Команда отобразит policy-файлы, установленные для программ, входящих в пакет systemd:

Для поиска программы, с которой связан policy-файл, можно использовать команду "dpkg -S <путь_к_policy-файлу>":

/usr/share/polkit-1/actions/org.freedesktop.hostname1.policy

...

/usr/share/polkit-1/actions/org.freedesktop.

...

locale1.policy

...

systemd: 
/usr/share/polkit-1/actions/org.freedesktop.hostname1.policy

...

login1.policy
/usr/share/polkit-1/actions/org.freedesktop.

...

network1.policy
/usr/share/polkit-1/actions/org.freedesktop.systemd1.policy
/usr/share/polkit-1/actions/org.freedesktop.timedate1.policy
/usr/share/polkit-1/actions/org.freedesktop.timesync1.policy

Для поиска программы, с которой связан policy-файл, можно использовать команду "dpkg -S <путь_к_policy-файлу>":

Команда отобразит, что файл /usr/share/polkit-1/actions/org.freedesktop.hostname1.policy соответствует одной из программ, входящей в состав пакета systemd:

systemd: /usr/share/polkit-1/actions/org.freedesktop.hostname1.policy

Пример описания действия, соответствующего команде "hostnamectl hostname <имя_узла>", и находящегося в файле org.freedesktop.hostname1.policy:

<?xml version="1.0" encoding="UTF-8"?> <!--*-nxml-*-->
<!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
        "https://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd">

<!--
  SPDX-License-Identifier: LGPL-2.1-or-later
  ...
-->

<policyconfig>

<?xml version="1.0" encoding="UTF-8"?> <!--*-nxml-*-->
<!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
        "https://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd">

<!--
  SPDX-License-Identifier: LGPL-2.1-or-later
  ...
-->

<policyconfig>

        <vendor>The systemd Project</vendor>
        <vendor_url>https://systemd.io</vendor_url>

        <action id="org.freedesktop.hostname1.set-hostname">
                <description gettext-domain="systemd">Set hostname</description>
                <message gettext-domain="systemd">Authentication is required to set the local hostname.</message>
             <vendor>The systemd  <defaults>Project</vendor>
            <vendor_url>https://systemd.io</vendor_url>

            <allow_any>auth_admin_keep</allow_any><action id="org.freedesktop.hostname1.set-hostname">
                <description gettext-domain="systemd">Set hostname</description>
      <allow_inactive>auth_admin_keep</allow_inactive>
          <message gettext-domain="systemd">Authentication is required to set the local hostname.</message>
                <defaults>
                        <allow_active>authany>auth_admin_keep</allow_active>
any>
                        </defaults><allow_inactive>auth_admin_keep</allow_inactive>
        </action>

        ...

</        <allow_active>auth_admin_keep</allow_active>
                </defaults>
        </action>

        ...

</policyconfig>

В файле *.policy каждому действию соответствует блок action.

...

Правила авторизации используются для изменения поведения системы авторизации, заданного действиями в policy-файлах.
Правила хранятся в файлах с расширением .rules. Файлы могут располагаться в каталогах /etc/polkit-1/rules.d/ и /usr/share/polkit-1/rules.d/.

При старте polkitd считывает в память правила из rules-файлов. Файлы читаются в порядке следования их названий, отсортированных по алфавиту (вначале идут цифры, потом буквы). Если в каталогах присутствуют файлы с одним и тем же названием, то файл из каталога /etc/polkit-1/rules.d/ читается первым.  Внутри Внутри файла правила читаются в том порядке, как они расположены в файле.
Для примера, следующие четыре файла будут прочитаны в порядке:

...

После добавления, удаления или изменения содержимого rules-файла служба polkitd автоматически заново перечитывает правила из rules-файлов.

Polkitd, получив Правила распределяются по двум очередям.
В одну очередь попадают правила, добавленные с помощью метода polkit.addRule (см. описание ниже). Polkitd, получив запрос на проверку права пользователя выполнить действие, начинает выполнять правила в порядке их расположения в памятиочереди. Выполнение правил останавливается на первом же правиле, которое вернёт какое-либо значение. Если ни одно правило не вернуло значение, то дальнейшее поведение поведение Polkitd определяется действиями, описанными в policy-файлах.

Правила написаны на языке программирования JavaScript в виде методов глобального объекта polkit.

Объект: polkit

Глобальный объект поддерживает методы:

Метод: polkit.addRule( function(action, subject) {...} );

– для добавления правила авторизации;

Метод: polkit.addAdminRule( function(action, subject) {...} );

В другую очередь попадают правила, добавленные с помощью метода polkit.addAdminRule (см. описание ниже). Эти правила используются, когда требуется определить, какие учётные записи принадлежат администраторам операционной системы. Правила выполняются в порядке их расположения в очереди. Выполнение правил останавливается на первом же правиле, которое вернёт значение.

Правила написаны на языке программирования JavaScript в виде методов глобального объекта polkit.

Объект: polkit

Для написания правил используется глобальный объект polkit, который поддерживает несколько методов.

Более полная информация о правилах и их составлении дана на странице polkit или доступна по команде "man 8 polkit".– для указания, кто является администратором;

Метод: polkit.

...

addRule( function(action, subject) {...

...

} );

– для запуска вспомогательной сторонней программы. Стандартный вывод этой программы будет возвращён как результат метода spawn.

Метод: polkit.log( message );

Метод применяется для вывода дополнительной информации в системный журнал работы. Используется при отладке правил.

Метод используется не самостоятельно, а вызывается изнутри функции function(action, subject).

Параметр метода:

...

окт 22 03:47:18 astra-28739 polkitd[18387]: этот текст будет выведен в системный журнал

Объект: action

Внутрь функции function(action, subject) передаётся параметр action,  который является объектом с информацией о действии, относительного которого проводится проверка.

Объект поддерживает один атрибут:

...

Объект поддерживает метод:

...

При использовании объекта action без указания атрибута или метода, будут выведены одной строкой: название действия и переменные привилегированной программы.

Например, для настройки "polkit.log("action=" + action);" при запуске команды "pkexec -u administrator echo 33333" в журнал будет выведено:

окт 22 00:55:27 astra-28739 polkitd[18387]: action=[Action id='org.freedesktop.policykit.exec' program='/usr/bin/echo' user.display='administrator' command_line='/usr/bin/echo 33333' user='administrator' polkit.message='Authentication is needed to run `$(program)' as user $(user.display)' polkit.gettext_domain='polkit-1' user.gecos='']

Объект: subject

Внутрь функции function(action, subject) передаётся параметр subject,  который является объектом с информацией о процессе (пользователе) чьи права проверяются.

Объект поддерживает атрибуты:

...

int pid

...

The process id.

...

string user

...

The user name.

...

string[] groups

...

Array of groups that user user belongs to.

...

string seat

...

The seat that the subject is associated with - blank if not on a local seat.

...

string session

...

The session that the subject is associated with.

...

string system_unit

...

The systemd unit that the subject's process is part of (if any). Note that this can only match on system units, as user units can be created with any name without privileges (unlike system units which require root to create). A process running in a user unit will return the user session unit in this attribute (e.g.: user-1000.service).

...

boolean local

...

Set to true only if seat is local.

...

boolean no_new_privileges

...

Set only if system_unit is not empty, and set to true only if the referenced systemd service unit has the NoNewPrivileges= setting enabled. This ensures that the process cannot gain any new privileges via executing setuid binaries.

...

boolean active

...

Set to true only if the session is active.

The following methods are available on the Subject type:

...

...

The isInGroup() method can be used to check if the subject is in a given group and isInNetGroup() can be used to check if the subject is in a given netgroup.

Более полная информация о правилах и их составлении дана на странице polkit или доступна по команде "man 8 polkit".

Назначение администратора операционной системы (пример использования метода addAdminRule)

В Astra Linux с помощью правила, содержащегося в файле /usr/share/polkit-1/rules.d/50-default.rules, пользователи группы astra-admin назначаются администраторами системы:

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:astra-admin"];
});

Отладочное журналирование (пример использования метода log)

Сделаем, например, чтобы при вызове команды pkexec в системный журнал выводилась дополнительная информация о действии и о пользователе, запустившем эту команду:

...

polkit.addRule(function(action, subject) {
 if (action.id == "org.freedesktop.policykit.exec") {
    polkit.log("action=" + action);
    polkit.log("subject=" + subject);
 }
});

...

...

[Unit]
Description=Authorization Manager
Documentation=man:polkit(8)

[Service]
Type=dbus
BusName=org.freedesktop.PolicyKit1
ExecStart=/usr/lib/polkit-1/polkitd  --min-ilev-auth-admin=max

...

...

...

...

Метод добавляет функцию function(action, subject), которая используется для проверки авторизации. Аргументами функциями являются объекты action и subject (см. описание объектов ниже).

В теле функции производится проверка права процесса (пользователя), заданного объектом subject, на выполнение действия, заданного объектом action .

Функция должна возвращать результат проверки в виде одного из атрибутов объекта polkit.Result:

polkit.Result.NO

"no"

polkit.Result.YES

"yes"

polkit.Result.AUTH_SELF

"auth_self"

polkit.Result.AUTH_SELF_KEEP

"auth_self_keep"

polkit.Result.AUTH_ADMIN

"auth_admin"

polkit.Result.AUTH_ADMIN_KEEP

"auth_admin_keep"

polkit.Result.NOT_HANDLED

null

Значения атрибутов соответствуют значениям элементов allow_* из policy-файлов, содержащих описания действий.
Если функция вернула null или ничего не вернула, то Polkitd приступит к выполнению следующего по порядку правила, добавленного методом polkit.addRule.

Пример правила, которое разрешает любому пользователю запускать команду "hostnamectl hostname <имя_узла>" без ввода пароля:

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.hostname1.set-hostname") {
        return polkit.Result.YES;
    }

    return polkit.Result.NOT_HANDLED; 
});

Метод: polkit.addAdminRule( function(action, subject) {...} );

Метод используется для указания, кто является администратором системы.

Метод добавляет функцию function(action, subject), которая вызывается, когда требуется аутентифицировать администратора системы.

Функция должна возвращать массив, который может содержать строки:

Если функция вернула null, undefined или ничего не вернула, то Polkitd приступит к выполнению следующего по порядку правила, добавленного методом polkit.addAdminRule.

Пример правила, которое назначает администраторами системы пользователя user1 и всех пользователей группы sudo.

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:sudo", "unix-user:user1"];
});

Метод: polkit.spawn( ["/путь/к/сторонней/программе/", "аргумент_программы_1", "аргумент_программы_2", ...] );

Метод используется для запуска вспомогательной сторонней программы. Стандартный вывод этой программы будет возвращён как результат метода spawn. Программа запускается с правами пользователя polkitd.

Если при вызове сторонней программы произошла ошибка или программа завершилась не с кодом 0, то метод spawn прерывается с ошибкой исключения.

Если сторонняя программа не завершилась в течение 10 секунд, то она принудительно закрывается.

См. пример использования метода spawn.

Метод: polkit.log( message );

Метод применяется для вывода дополнительной информации в системный журнал работы. Используется при отладке правил.

Метод используется не самостоятельно, а вызывается изнутри функции function(action, subject).

Параметр метода "message" – строка, которая будет выведена в системный журнал.
Для формирования строки "message" могут использоваться объекты action и subject (см. описание ниже).


См. пример использования метода log.

Объект: action

Внутрь функции function(action, subject) передаётся параметр action,  который является объектом с информацией о действии, относительного которого проводится проверка.

Атрибут объекта:

Метод объекта:

При использовании объекта action без указания атрибута или метода, будут выведены одной строкой: название действия и переменные привилегированной программы.

Например, для настройки "polkit.log("action=" + action);" при запуске команды "pkexec -u administrator echo 33333" в журнал будет выведено:

окт 22 00:55:27 astra-28739 polkitd[18387]: action=[Action id='org.freedesktop.policykit.exec' program='/usr/bin/echo' user.display='administrator' command_line='/usr/bin/echo 33333' user='administrator' polkit.message='Authentication is needed to run `$(program)' as user $(user.display)' polkit.gettext_domain='polkit-1' user.gecos='']

Объект: subject

Внутрь функции function(action, subject) передаётся параметр subject,  который является объектом с информацией о процессе (пользователе), чьи права проверяются.

Атрибуты объекта:

Методы объекта:

При использовании объекта subject без указания атрибута или метода, будут выведены одной строкой все атрибуты объекта.

Например, для настройки "polkit.log("subject=" + subject);" при запуске команды "pkexec -u administrator echo 33333" в журнал будет выведено:

окт 22 15:39:19 astra3 polkitd[18387]: subject=[Subject pid=

...

44098 user='

...

user1' groups=

...

user1,

...

dialout,cdrom,floppy,sudo,audio

...

,video,plugdev,users

...

 seat=null session=

...

null local=

...

true active=true]

Запуск команды без запроса пароля (файл 50-local-allow.rules из состава polkitd)

Примеры правил

При написании правил необходимо учитывать порядок следования правил относительно друг друга. Процесс обработки правил останавливается после первого правила, вернувшего результат.

...

...

Назначение администратора операционной системы

В Astra Linux в файле /usr/share/polkit-1/rules.d/50-default.rules содержится правило:

• пользователи группы astra-admin назначаются администраторами системы:

polkit.addAdminRule(function(action,

polkit.addRule(function(action, subject) {
    if (
        subject.isInGroup("return ["unix-group:astra-admin")
        && action.id === "org.freedesktop.systemd1.manage-units"
        && action.lookup("unit") === "apt-daily.service"];
});

Включение отладочного журналирование

Сделаем, например, чтобы при вызове команды pkexec в системный журнал выводилась дополнительная информация о действии и о пользователе, запустившем эту команду:

1. Создать файл /etc/polkit-1/rules.d/10-default.rules с правилом:
   

   Блок кода
   polkit.addRule(function(action, subject) { if (action.id == "org.freedesktop.policykit.exec") {

...

1. polkit.log("action=" + action);

...

1. polkit.

...

1. log("subject=" + subject); }

...

...

1. });

Правило адаптировано для Astra Linux SE:

• в методе subject.isInGroup указан параметр "astra-admin" вместо "sudo";
  
• переменной action.lookup("unit") присвоено значение "apt-daily.service" вместо "apt-cacher-ng.service".

Правилом задаётся:

• пользователю, входящему в группу astra-admin;
• разрешено без ввода пароля ("return polkit.Result.YES");
• запускать команду systemctl (название действия "org.freedesktop.systemd1.manage-units");
• для перезапуска (action.lookup("verb") === "restart");
• службы apt-daily (action.lookup("unit") === "apt-daily.service").

В результате пользователь, входящий в группу astra-admin сможет запускать команду "systemctl restart apt-daily" без использования команды sudo и без запроса пароля от polkitd.

Запрет на запуск команды (файл 50-local-deny.rules из состава polkitd)

При установке пакета polkitd устанавливается файл /usr/share/doc/polkitd/50-local-deny.rules:

1. где org.freedesktop.policykit.exec – название действия, соответствующего команде pkexec.
2. Разрешить службе polkitd выводить в системный журнал отладочные сообщения.
   Для этого в файле systemd-юнита /usr/lib/systemd/system/polkit.service убрать из значения параметра ExecStart опцию "--no-debug":
   

   Блок кода
   ExecStart=/usr/lib/polkit-1/polkitd --min-ilev-auth-admin=max

3. Перечитать настройки системного менеджера systemd, чтобы служба polkitd "подхватила" удаление опции "--no-debug":
   

   Command
   sudo systemctl daemon-reload

4. Перезапустить службу polkitd, чтобы она начала выводить отладочные сообщения в системный журнал:
   

   Command
   sudo systemctl restart polkit

Для проверки вывода информации в журнал:

1. Запустить команду:
   

   Command
   pkexec -u administrator echo "test"

   В системном журнале появятся записи о действии "action=..." и о пользователе "subject=...":
   

   Блок кода

   сен 22 12:51:44 astra-28739 polkitd[7867]: action=[Action id='org.freedesktop.policykit.exec' program='/usr/bin/echo' user.display='administrator' command_line='/usr/bin/echo test' user='administrator' polkit.message='Authentication is needed to run `$(program)' as user $(user.display)' polkit.gettext_domain='polkit-1' user.gecos=''] сен 22 12:51:44 astra-28739 polkitd[7867]: subject=[Subject pid=4297 user='administrator' groups=administrator,tty,dialout,cdrom,floppy,audio,dip,video,plugdev,users,netdev,lpadmin,scanner,astra-admin,astra-console seat=null session='7' local=false active=true]

Разрешение любому пользователю запускать определённую команду

Правило:

• относится к любому пользователю;
• разрешает запускать команду "hostnamectl hostname <имя_узла>" без ввода пароля:

polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.hostname1.set-hostname") {
        return polkit.Result.YES;
    }

    return polkit.Result.NOT_HANDLED; 
});

Действие для команды "hostnamectl hostname <имя_узла>" описано в файле /usr/share/polkit-1/actions/org.freedesktop.hostname1.policy.

Разрешение группе пользователей запускать определённую команду системного менеджера systemd без ввода пароля (пример из файла 50-local-allow.rules из состава polkitd)

Вместе с пакетом polkitd устанавливается файл /usr/share/doc/polkitd/50-local-allow.rules с нижеприведённым примером правила.

Правило:

• относится только к пользователям, состоящим в группе sudo;
• разрешает запускать команду "systemctl restart apt-daily" без ввода пароля;
  Примечание. В файле 50-local-allow.rules правило задано для службы apt-cacher-ng, которая отсутствует в Astra Linux;
  
• доступ к остальным командам определяется другими существующими правилами, а также правами доступа в policy-файлах:

polkit.addRule(function(action, subject) {
    if (
        subject.isInGroup("sudo")
        && action.id == "org.freedesktop.systemd1.manage-units"
        && action.lookup("unit") == "apt-daily.service"
        && action.lookup("verb") == "restart"
    ) {
        return polkit.Result.YES;
    }

    return polkit.Result.NOT_HANDLED;
});

Действия для команды systemctl описаны в файле /usr/share/polkit-1/actions/org.freedesktop.systemd1.policy.

Запрещение пользователю запускать ряд команд (пример из файла 50-local-deny.rules из состава polkitd)

Вместе с пакетом polkitd устанавливается файл /usr/share/doc/polkitd/50-local-deny.rules с нижеприведённым примером правила.

Правило:

• относится только к пользователю guest;
• запрещает изменять сетевые настройки в программе NetworkManager;
• запрещает запускать команду hostnamectl для изменения настроек узла.
  Примечание. В файле 50-local-deny.rules правило задано для программы PackageKit, которая отсутствует в Astra Linux;
• доступ к остальным командам определяется другими существующими правилами, а также правами доступа в policy-файлах:

polkit.addRule(function(action, subject) {
    if (subject.user !== "guest") {
        return polkit.Result.NOT_HANDLED;
    }

    if (action.id == "org.freedesktop.NetworkManager.settings.modify.system") {
        return polkit.Result.NO;
    }

    if (action.id.indexOf("org.freedesktop.hostname1.") == 0) {
        return polkit.Result.NO;
    }

    return polkit.Result.NOT_HANDLED;
});

Действие для изменения сетевых настроек в программе NetworkManager описано в файле /usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy.
Действия для команды hostnamectl описаны в файле /usr/share/polkit-1/actions/org.freedesktop.hostname1.policy.

Запрещение группе пользователей запускать все команды, кроме указанных

Правило:

• относится только к пользователям, состоящим в группе group1;
• разрешает запускать команду по изменению имени узла "hostnamectl hostname <имя_узла>" без ввода пароля;
• разрешает запускать программу GParted "/usr/sbin/gparted" с вводом пароля администратора;
• запрещает запускать все остальные команды:

polkit.addRule(function(action, subject) {
    if ( ! subject.isInGroup("group1") ) {
        return polkit.Result.NOT_HANDLED;
    }

    if (action.id == "org.freedesktop.hostname1.set-hostname") {
        return polkit.Result.YES;
    }

    if (action.id == "org.gnome.gparted") {
        return polkit.Result.AUTH_ADMIN;
    }

    return polkit.Result.NO;
});

Действие команды "hostnamectl hostname <имя_узла>" описано в файле /usr/share/polkit-1/actions/org.freedesktop.hostname1.policy.
Действие программы GParted описано в файле /usr/share/polkit-1/actions/org.gnome.gparted.policy.

Использование сторонней программы для определения права пользователя на выполнение действия

Правило:

• используется, когда пользователь вводит команду "systemctl reboot" для перезапуска операционной системы;
• запускает стороннюю программу "/opt/company/bin/user-may-reboot" от имени пользователя polkitd. В качестве аргумента программе передаётся имя пользователя, запросившего действие;
• программа "/opt/company/bin/user-may-reboot" каким-то образом решает, можно или нет пользователю перезапустить систему;
• если сторонняя программа завершилась в течение 10 секунд с кодом 0, то действие, запрошенное пользователем, выполнится без запроса пароля;
    - иначе у пользователя будет запрошен пароль администратора для выполнения действия.

polkit.addRule(function(action, subject) {
    if (action.id.indexOf("org.freedesktop.login1.reboot") == 0) {
        try {
            // Программа user-may-reboot должна успешно завершаться с кодом 0 только в том случае,
            // если пользователю разрешено перезагружать операционную систему.
            polkit.spawn(["/opt/company/bin/user-may-reboot",
                          subject.user]);
    

polkit.addRule(function(action, subject) {
    if (subject.user !== "guest") {
        // Continue to the next rules file for users other than guest
        return polkit.Result.NOT_HANDLEDYES;
    }

    } ifcatch (action.id === "org.freedesktop.NetworkManager.settings.modify.system"error) {
        // Don't allow reconfiguring NetworkManager
// Если при выполнении программы возникла ошибка, то тогда return polkit.Result.NO;у пользователя
    }

     return polkit.Result.NOT_HANDLED;
});

Не показано правило, запрещающее запуск программы PackageKit, которая не используется в Astra Linux.

Правилом задаётся:

• пользователю guest;
• запрещено ("return polkit.Result.NO");
• изменение сетевых настроек в программе NetworkManager (название действия "org.freedesktop.NetworkManager.settings.modify.system").

...

   // запрашивается пароль администратора
            return polkit.Result.AUTH_ADMIN;
        }
    }
});

Каталоги