LINUX.ORG.RU
ФорумAdmin

Как запретить PolicyKit долбить меня бесконечными запросами пароля? [РЕШЕНО]

 , ,


0

1

На сервере установил Debian 10, из под рута поставил графическую оболочку KDE, настроил удаленный рабочий стол по xrdp.

Создал нового обычного пользователя, добавил его в группу sudo.

Зашел под новосозданным пользователем и оказался буквально парализован бесконечными запросами пароля. Очень прошу помощи, что я не учел? Почему, если при установке Debian он создает обычного пользователя сам, то все нормально, а если его создать потом вручную он вот так вот криво создается? Я не могу ни одного пакета поставить из-за этих бесконечных запросов пароля.

https://ibb.co/ctBvNcp



Последнее исправление: nadim (всего исправлений: 4)

он вот так вот криво создается

оденьте трусы на задницу, а панаму на голову...

помимо создания юзера, его нужно добавить не только(и не столько) в группу sudo(что за блажь?), а ещё и в другие группы, коих почти с десяток, video, audio, adm, pulse, kvm, disk, power, wheel.... да и сам sudo не мешало бы для начала настроить.(на снимке он у тебя спрашивает разрешение на подключение к репам, если тебя так заботит проверять обновления может десяточку?)

Какие конкретно, смотри по своему набору. Какие группы указаны в правилах polkitd? их там может быть тьма, а может ни одной, что не мешает самому правила написать.

Какие пароли он от тебя требует? на какие действия? при каких условиях? Конечно, если повключать в автостарт квалеты, управление ключами, и прочую лабуду, то можно по десять минут логиниться с увлечением долбя пароли на всякий чих. Ты сперва для себя определись, что тебе нужно для работы, а потом уже паранойю разводи.

Gramozeka ★★
()
Последнее исправление: Gramozeka (всего исправлений: 1)
Ответ на: комментарий от Gramozeka

Да откуда бы мне знать что за группы нужны для комфортной работы? Я весь интернет перерыл, нигде не нашел списка групп, в которые надо добавлять новосозданного пользователя.

Тут наверное проблема в том, что на сервере Debian изначально ставится только с одним пользователем (рутом). Вероятно надо попробовать как-нибудь со своего iso-образа установится, чтобы два пользователя создалось сразу (обычный и рут).

nadim
() автор топика
Ответ на: комментарий от Gramozeka

помимо создания юзера, его нужно добавить не только(и не столько) в группу sudo(что за блажь?), а ещё и в другие группы, коих почти с десяток, video, audio, adm, pulse, kvm, disk, power, wheel

А вот нафига так? Тож вопрос интересен. Почему не создается сразу со всеми нужными как при установке?

Qwentor ★★★★★
()
Ответ на: комментарий от Qwentor

Я не знаю. Но в панели хостера я могу лишь выбрать шаблон ОС и все эти шаблоны только с одним рутовским юзером, в них не предусмотрен обычный юзер.

nadim
() автор топика
Последнее исправление: nadim (всего исправлений: 1)

Используешь гуй. оно на все запросы, которые требуют Рут прав, кидает тебе запрос на ввод пароля. А ты как хотел? Используй терминал, пароль будешь 1 раз вводить на время сессии sudo.

anonymous
()
Ответ на: комментарий от Qwentor

А вот нафига так? Тож вопрос интересен. Почему не создается сразу со всеми нужными как при установке?

проблема в том, что на сервере Debian

учите матчасть.(файспалм-об-стол)

каждая системная служба имеет свои резоны по доступу к железу и другим службам и за каждой тянется борода старины Черномора из исторических прецедентов и всяких секьюрных примочек.

Само понятие «сервер» уже накладывает кучу ограничений на гуи и прочую необязательную мешпуху.

А работать в линуксе под рутом - это не просто моветон, а прямое указание на органические повреждения мозга...(может всё-таки десяточка?добрая, котоламповая, с анальными зондами с усиками и пупырышками от Билли, тем более он вон решил всех осчасливить неизвлекаемым носимым, который битки майнить будет пока на женщине выполняешь обязательную программу)

обязательного списка групп, в которые должен быть добавлен юзер не существует в природе, в каждом дистрибутиве свои примочки. Есть лишь общие правила(которые просто приняты по умолчанию), если у тебя нет avahi или samba, то тебе и не нужны эти группы, если тебе не нужен qemu, то тебе и все виртуальности тоже никуда не впёрлись. Кому-то и аудио не нужно, так что только читать основы, общих рекомендаций нет.

Gramozeka ★★
()
Последнее исправление: Gramozeka (всего исправлений: 1)
Ответ на: комментарий от anonymous

А есть гайды по настройке полкит на русском?

nadim
() автор топика
Ответ на: комментарий от Gramozeka

Я вчера весь день убил на всю эту хрень, но так и не смог победить. Итак, алгоритм моих действий был таким:

  1. Ставлю чистый Debian на сервер.
  2. Создаю нового обычного пользователя и добавляю его точно в те же группы, в которых состоит мой пользователь на домашнем ПК (там тоже Debian).
  3. Далее, копирую с домашнего компа конфиги PolitKit из каталогов /etc/polikit-1 и /usr/share/polkit-1 (так как пользователь на сервере и на домашнем ПК имеют одинаковые имена, то проблем быть не должно).
  4. После чего иду и настраиваю файл /etc/sudoers по аналогии с тем, что записано в этом же файле на моем домашнем ПК.
  5. Перезагружаюсь и запускаю установку kde-full + xrdp
  6. Как только графическая оболочка готова, захожу через удаленный доступ под обычным пользователем и пытаюсь использовать какой-нибудь пакетный менеджер для установки пакетов.
  7. Но эта падла все равно просит у меня пароли! И ПРИ ЭТОМ ВВЕДЕННЫЕ ПАРОЛИ НЕ ПРИНИМАЕТ! Пишет что не хватает прав для действий. При этом с консоли sudo нормально работает, а вот пакетные менеджеры в графическом режиме все как один отказваються работать, требуя неизвестных мне прав.

Я не понимаю, что за фигня происходит, ведь PolitKit настроен точно так же, как на домашнем компе. Что не так то? Разумеется я пробовал и переустанавливать PolitKit, но это ни капельки не помогло.

nadim
() автор топика
Последнее исправление: nadim (всего исправлений: 2)
Ответ на: комментарий от nadim

Я не понимаю, что за фигня происходит, ведь PolitKit настроен точно так же, как на домашнем компе. Что не так то? Разумеется я пробовал и переустанавливать PolitKit, но это ни капельки не помогло.

)))))(фэйспамл-об-стол, стол уже весть в трещинах)

во-первых, полкит это своеобразная штука, она работает с особыми правами, любые её действия имеют доминантный характер по отношению к любым другим системным вещам, но выполняются они только с правами самого polkitd. Все правила(файлы) должны иметь владельцем polkitd.

Грубо :

# chown -R polkitd:polkitd /etc/polkit-1
# chown -R polkitd:polkitd /usr/share/polkit-1

так ты должен сделать. Хотя и пишут что достаточно только хозяина поменять, но я по старинке делаю и группу тоже, вреда не будет.

во-вторых, с sudo там тоже не всё просто, файл настройки он не один(внезапно, да?), их четыре:

/etc/sudo.conf /etc/sudoers /etc/sudoers.dist /etc/sudoers.d/sudo

плюс к этому, существует ещё и PAM со своими правилами! которые во многом порой переопределяют поведение защиты от дурака.

это :

каталог /etc/pam.d , где все текущие правила, и! каталог /etc/security , где прописаны права и разрешения на применение правил PAM. В частности такой файлик как /etc/security/access.conf , отвечает за доступ к ресурсам файловой системы в разных ситуациях(в том числе и удалёнка). Там есть комментарии, можно почитать, ну и man'ы никто не отменял.

Всё работает в комплексе, одни прикладухи требуют полисикит, другие пам, третьи акцесы рама, четвертые всех вместе.

Я не могу подсказать как тебе настроить пакетный манагер, скорее всего, там ещё и свои замороки с настройками доступа, но рекомендую начать с прав доступа к правилам полкита, очень часто это главная засада, дальше уже по мере поступления проблем...

Gramozeka ★★
()
Ответ на: комментарий от Gramozeka

Огромное спасибо за развернутый ответ, но мне уже настолько надоело все это, что мне проще и быстрее будет в будущем взять сервер на котором можно будет разворачивать свои образы-инсталяторы, а не только из шаблона. Сейчас уже времени нет, со всем этим возится, работать надо, сроки жмут, поэтому откладывается все на неопределенное время. Еще раз спасибо.

nadim
() автор топика
Последнее исправление: nadim (всего исправлений: 1)

polkitd рулит разрешениями для определенных действий в зависимости от того как пользователь зашел в систему - локально или удаленно. Для удаленных пользователей политика строже. Даже не перезагрузку системы будет пароль спрашивать.

Для изменения поведения нужно переопределить конкретные правила. Это делается не сложно, но сам алгоритм как придти к тем или другим действиям довольно туманен.

как обойти запросы пароля на создание цветового профиля устройства и на обновление репозиториев можно почитать тут: http://c-nergy.be/blog/?p=14051 http://c-nergy.be/blog/?p=14058

в моем случае не удалось достичь желаемого результата по репозитариям. Правда раньше было 2 запроса, а теперь один. Возможно это немного другое действие…

vyv ★★★
()
Ответ на: комментарий от vyv

А нельзя этот PolitKit вырезать нахрен? Удалить из системы, чтобы программы стартовали напрямую, без предварительной проверки прав.

nadim
() автор топика
Ответ на: комментарий от nadim

бери божественную 10-ку. там все эти секурные суеверия отключаются раз и навсегда. главное не мешай ей обновляться. она не любит когда юзер начинает что-то ей диктовать.

anonymous
()
Ответ на: комментарий от nadim

Во FreeBSD есть PolicyKit, но нет такого трэшака, как тут описывалось.

iZEN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.