Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8).
Введение
Polkit (ранее известный как PolicyKit) – система авторизации, которая решает: разрешить или запретить действие, запрошенное непривилегированным пользователем, но требующее повышенных привилегий. При использовании polkit пользователь не наделяется повышенными привилегиями, что отличается, например, от программы sudo. Для принятия решения polkit может запросить у пользователя его пароль или пароль привилегированного пользователя.
... позволяющий непривилегированным пользователям (процессам) выполнять действия, требующие права администратора. При этом непривилегированные пользователи (процессы) не наделяются правами администратора, что отличается от программы sudo.
Официальная документация расположена на странице "polkit Reference Manual".
В набор программ polkit входят:
| Программа | Описание |
|---|---|
| polkit | Менеджер авторизации. Является динамической библиотекой |
| polkitd | Системная служба polkitd |
| pkcheck | Программа для проверки того, что определённому процессу дано право выполнять определённое действие в операционной системе |
| pkaction | Программа для вывода информации о зарегистрированном действии |
| pkexec | Программа для выполнения команды от имени другого пользователя |
| pkttyagent | Текстовой агент аутентификации |
Алгоритм работы polkit:
- Пользователь непривилегированной программы обращается (вызывает) к привилегированной программе для выполнения какого-либо действия, требующего привилегий (прав администратора).
- Для проверки права пользователя на выполнение действия – привилегированная программа обращается к системной службе polkitd.
- Системная служба polkitd исходя из хранящихся правил и действий:
- при необходимости с помощью агента аутентификации запрашивает у пользователя его пароль или пароль привилегированного пользователя;
- определяет разрешено ли пользователю выполнять запрашиваемое действие в привилегированной программе. - Системная служба polkitd отвечает привилегированной программе: разрешается или нет выполнить для пользователя запрошенное действие.
- Если от polkitd получено разрешение, то привилегированная программа выполняет действие, запрошенное пользователем.
Схема работы polkit
Использование polkit приложениями
Для каждой привилегированной программы в каталоге /usr/share/polkit-1/actions/ должен храниться файл *.policy, в котором описаны возможные действия, выполняемые программой.
Агенты аутентификации
Журналирование
Каталоги и конфигурационные файлы
| /usr/share/polkit-1/actions/ | |
| /usr/share/polkit-1/rules.d/ | |
| /etc/polkit-1/rules.d/ | |
| /etc/polkit-1/localauthority/ /var/lib/polkit-1/localauthority/ | Debian 13: For consistency with upstream and other distributions, the polkit ... as changed the syntax and location for local policy rules. You should now write local rules for customizing the security policy in JavaScript, and place them at /etc/polkit-1/rules.d/*.rules. Previously, rules could be written in pkla format, and placed in subdirectories of /etc/polkit-1/localauthority or /var/lib/polkit-1/localauthority. However, .pkla files should now be considered deprecated, and will only continue to work if the polkitd-pkla package is installed. ...so any local policy overrides will need to be migrated to the JavaScript format. |
| /usr/share/doc/polkitd/examples/ |