polkit Rechte unter Trixie

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
buhtz
Beiträge: 1220
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

polkit Rechte unter Trixie

Beitrag von buhtz » 13.12.2024 16:59:55

Polkit und Co habe ich nie verstanden, sondern nur irgendwelche Config Schnippsel aus Blogs und Foren verwendet, bis es ging. Sorry, schonmal. ;)
Ich brauche mal jemand er mich in die richtige Richtung dreht.

Meine Schnippsel aus Bookworm funktionieren scheinbar nicht mehr in Trixie. Soweit meine Recherche korrekt ist, scheint sich die Struktur und Syntax der Config Dateien verändert zu haben?

Um in Bookworm in einer XRDP Session runterfahren zu können, ohne mit einer Passwortabfrage genervt zu werden, brauchte ich diesen Schnippsel.

Code: Alles auswählen

# /etc/polkit-1/localauthority/50-local.d/foobar.pkla
[Enableble Reboot]
Identity=unix-group:*
Action=org.freedesktop.login1.reboot;org.freedesktop.login1.reboot-multiple-sessions
ResultAny=yes
ResultActive=no
ResultInactive=no

[Enable Shutdown]
Identity=unix-group:*
Action=org.freedesktop.login1.power-off;org.freedesktop.login1.power-off-multiple-sessions
ResultAny=yes
ResultActive=no
ResultInactive=no
Mein Problem in Trixie fängt nun schon damit an, dass das Verzeichnis /etc/polkit-1 gar nicht existiert.

Na gut, also habe ich diese Datei mit dem obigen Inhalt angelegt: /etc/polkit-1/rules.d/foobar.pkla.
Kompletter reboot, XRDP session login,

Ich finde nur solche Anleitungen die JavaScript verlangen. Da werde ich nicht mit fertig. JS zum konfigurieren? Die verstehe ich doch hoffentlich etwas falsch!? Es geht weniger um JS an sich, sondern darum, dass ich nur fürs Konfigurieren eine Programmiersprache zur Hand nehmen muss. Kann doch nicht sein.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

rhHeini
Beiträge: 2730
Registriert: 20.04.2006 20:44:10

Re: polkit Rechte unter Trixie

Beitrag von rhHeini » 13.12.2024 17:21:42

Wahrscheinlich meinst Du Bullseye wo das mit pkla noch funktionierte. Das ist seit Bookworm deprecated. pklas gibt es ab Debian 12 nicht mehr.

Die Arch-Linux-Anleitung ist schon richtig. Die policies existieren nach wie vor, die rules ersetzen die pkla mit so einer Java-Syntax.

buhtz
Beiträge: 1220
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: polkit Rechte unter Trixie

Beitrag von buhtz » 13.12.2024 21:14:53

Mhm... Unter Bookworm hat es so noch funktioniert. Nun ja.

Ich weiß nicht mal was eine rule ist, oder was diese pkla Syntax gemacht hat. Hab nie verstanden, warum ich zum Runterfahren überhaupt ein Passwort benötige.
Ich kann keine Syntax, die ich inhaltlich nicht verstehe, nicht übersetzen. Kurz gesagt: Ich weiß nicht was ich tue. Das Problem ist weniger die technische Umsetzung.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

rhHeini
Beiträge: 2730
Registriert: 20.04.2006 20:44:10

Re: polkit Rechte unter Trixie

Beitrag von rhHeini » 13.12.2024 21:35:14

Ich bin mir sicher das die Änderung bereits mit Bookworm bzw. mit Devuan Daedalus während das noch Testing war kam.

buhtz
Beiträge: 1220
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: polkit Rechte unter Trixie

Beitrag von buhtz » 16.12.2024 07:43:41

rhHeini hat geschrieben: ↑ zum Beitrag ↑
13.12.2024 21:35:14
Ich bin mir sicher das die Änderung bereits mit Bookworm bzw. mit Devuan Daedalus während das noch Testing war kam.
Wie der Kollege ja meinte, sei es Deprecated gewesen, ging also noch. Bei meinem Bookworm ging es definitiv noch.

Mal aus kollegialer Neugier gefragt: Warum JavaScript zur Konfig? Welche Überlegung steckt dahinter? In so einem Umfeld gehe ich davon aus, dass solche Entscheidungen nicht unüberlegt und leichtfertig getroffen werden. Irgendeinen Benefit wird man sich ja davon versprechen.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

rhHeini
Beiträge: 2730
Registriert: 20.04.2006 20:44:10

Re: polkit Rechte unter Trixie

Beitrag von rhHeini » 16.12.2024 10:58:36

Kann ich Dir nichts zu sagen, das können nur die Macher bei freedesktop.org sagen.

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: polkit Rechte unter Trixie

Beitrag von Livingston » 16.12.2024 14:52:52

Das ist doch kein echtes Javascript sondern nur die Syntax/Schreibweise für die Konfiguration. Inhaltlich hat sich eigentlich nix geändert.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

buhtz
Beiträge: 1220
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: polkit Rechte unter Trixie

Beitrag von buhtz » 22.12.2024 21:55:07

OK, nun mal ein konkreter Versuch meinerseits. Die "Regel" tut zwar u.a. was sie soll, aber nebenbei funktionieren andere Dinge im System nicht mehr. Kann mich nicht mal mehr bei X abmelden oder USB Sticks automounten.

Das hier war die alte Regel, mit der ich das Anlegen eines Farbewalteten Gerätes (oder so ähnlich) bei der Anmeldung via XRDP erlaubt habe. Ohne diese Regel, wurde ich nämlich immer nach einen Passwort gefragt, für eine Aktion deren Sinn und Zweck ich bis heute nicht verstehe.

Code: Alles auswählen

[Color Manager All Users]
Identity=unix-user:*
Action=org.freedesktop.color-manager.settings.modify.system;org.freedesktop.color-manager.create-device
ResultAny=no
ResultInactive=no
ResultActive=yes
Das ganze nun Übersetzt in JavaScript

Code: Alles auswählen

/* org.freedesktop.color-manager.create-device */
polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.color-manager.create-device") {
        return polkit.Result.YES;
    }
    return polkit.Result.NO;
});
Mir ist schon klar, warum plötzlich andere dinge auch nicht funktioniert haben: Hier wird NO im else Zweig (also bei jeder anderen Aktion) ausgegeben. Aber ich habe noch immer nicht die Ablauflogik des ganzen verstanden und weiß daher nicht, was ich hier zu ändern habe. Was erwartet der Aufrufer von mir?

Hat da jemand einen Vorschlag?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Antworten