Bug 35770

Summary: polkit: обеспечить контроль запуска посредством control
Product: Sisyphus Reporter: Sergey Y. Afonin <asy>
Component: polkitAssignee: Yuri N. Sedunov <aris>
Status: NEW --- QA Contact: qa-sisyphus
Severity: major    
Priority: P3 CC: aris, arseny, evg, ldv, shaba, shrek, sin, vseleznv
Version: unstable   
Hardware: all   
OS: Linux   

Description Sergey Y. Afonin 2018-12-14 11:32:44 MSK 
В ALT есть такие вот умолчания:

# control|grep "^su"
su              wheelonly       (public wheel wheelonly restricted)
sudo            wheelonly       (public wheelonly restricted)
sudoers         strict          (strict relaxed)
sudoreplay      wheelonly       (public wheelonly restricted)

Наличие systemd-run, запускаемого от любого пользователя, делает их бессмысленными.
Comment 1 Dmitry V. Levin 2018-12-14 15:44:27 MSK 
$ rpmquery -lvp Sisyphus/files/x86_64/RPMS/polkit-0.115-alt4.x86_64.rpm |grep '^-r-s'
-r-s--x--x    1 root    root            27288 Dec  6 17:37 /usr/bin/pkexec
-r-s--x--x    1 root    root            18776 Dec  6 17:37 /usr/libexec/polkit-1/polkit-agent-helper-1
$ rpmquery -lvp Sisyphus/files/x86_64/RPMS/polkit-0.115-alt4.x86_64.rpm |grep -c control
0
Comment 2 Dmitry V. Levin 2018-12-14 15:50:45 MSK 
Пока polkit был маргинальным пакетом, это никого особенно не интересовало.
А теперь из-за systemd, который его использует, актуальность выросла.
Comment 3 Dmitry V. Levin 2022-01-29 19:13:45 MSK 
Интересно, что ни в одной из виртуалок на systemd, которые у меня есть, никакого polkit нет.
Скажите, пожалуйста, это правда, что polkit всё ещё нужен в системах с systemd, или polkit снова стал маргинальным пакетом, и его надо исключить из дистрибутивов?
Comment 4 Dmitry V. Levin 2022-01-29 19:16:47 MSK 
(In reply to Sergey Y. Afonin from comment #0)
> Наличие systemd-run, запускаемого от любого пользователя, делает их
> бессмысленными.

Каким образом?

$ systemd-run id
Failed to start transient service unit: Access denied
Comment 5 Vladimir D. Seleznev 2022-01-29 19:24:47 MSK 
(In reply to Dmitry V. Levin from comment #3)
> Интересно, что ни в одной из виртуалок на systemd, которые у меня есть,
> никакого polkit нет.
> Скажите, пожалуйста, это правда, что polkit всё ещё нужен в системах с
> systemd, или polkit снова стал маргинальным пакетом, и его надо исключить из
> дистрибутивов?

Сам по себе polkit не является обязательным для работы систем с sd, но без него не будут работать разрешения для привилегированных операций непривилегированным пользователям.

(In reply to Dmitry V. Levin from comment #4)
> Каким образом?
> 
> $ systemd-run id
> Failed to start transient service unit: Access denied

Что мы наблюдаем вот здесь.
Comment 6 Arseny Maslennikov 2022-01-29 23:10:33 MSK 
(In reply to Sergey Y. Afonin from comment #0)
> В ALT есть такие вот умолчания:
> 
> # control|grep "^su"
> su              wheelonly       (public wheel wheelonly restricted)
> sudo            wheelonly       (public wheelonly restricted)
> sudoers         strict          (strict relaxed)
> sudoreplay      wheelonly       (public wheelonly restricted)
> 
> Наличие systemd-run, запускаемого от любого пользователя, делает их
> бессмысленными.

(In reply to Dmitry V. Levin from comment #3)
> Интересно, что ни в одной из виртуалок на systemd, которые у меня есть,
> никакого polkit нет.
> Скажите, пожалуйста, это правда, что polkit всё ещё нужен в системах с
> systemd, или polkit снова стал маргинальным пакетом, и его надо исключить из
> дистрибутивов?

В десктопных дистрибутивах, например, без него сломаются непривилегированные кнопки "Выключить"/"Перезагрузить" в DE.