Häppchenweise
Desktop-Sicherheit mit Sudo und Policykit
Vertrauensfrage
Policykit unterscheidet, ob sich der Benutzer lokal angemeldet beziehungsweise sich überhaupt angemeldet hat ("Active Console" beziehungsweise "Console" oder "Anyone"). Schon das Beschränken auf lokale Anmeldungen reduziert die Angriffsmöglichkeiten erheblich. Bei der Anmeldung ("Authentication") legen Sie zusätzlich fest, ob nur Administratorkonten berechtigt sind ("Admin Authentication"). Die Freigabe lässt sich zudem zeitlich einschränken (Abbildung 2). So gibt es folgenden Varianten:
- die einmalige Freigabe ("one shot"),
- die Freigabe durch das Passwort ("Authentication"),
- für eine Sitzung ("keep session"),
- nach einmaliger Authentisierung dauerhaft ("keep indefinitly") und
- die Freigabe durch die Anmeldung am System ("Yes").
Abbildung 2: Policykit bietet eine Vielzahl verschiedener Authentisierungsmöglichkeiten für privilegierte Aufgaben.
Systemkonfigurationen, etwa die Netzwerkeinstellungen, erkennt das Programm als eine Aktion org.freedesktop.systemtoolsbackend.set, die nur der Administrator entsperren darf. Den Passwortdialog bietet es daher auch nur solchen Benutzern an, die über Administrationsrechte verfügen. Obwohl auf dem System der Benutzer fred existiert (Abbildung 3), wird nur der Administrator marcus im Dropdown-Menü angezeigt.
Abbildung 3: Systemverwaltungsaufgaben, etwa das Ändern der Netzwerkeinstellungen, bleibt Anwendern mit administrativen Rechten vorbehalten. Normale Benutzer zeigt Policykit in der Auswahlliste nicht an.
Verwaltungsoberfläche
Sie starten die Verwaltungsoberfläche über System | Systemverwaltung | Authorizations (Abbildung 4). Alternativ verwenden Sie den Aufruf polkit-gnome-authorization im Terminal. KDE fehlt derzeit eine grafische Konfiguration für Policykit – alle Einstellungen nehmen Sie dort mit Kommandozeilenprogrammen vor, die der Abschnitt "Klicklos" näher beschreibt.
Abbildung 4: Die Konfigurationsoberfläche von Gnome erleichtert das Einstellen der Berechtigungen von Policykit erheblich, weist aber – speziell auf Programmebene – noch erhebliche Defizite auf.
Policykit verwaltet die Autorisierungen und die entsprechenden Aktionen für die Steuerung der Hardware (HAL), Einstellungen für Policykit selbst (policykit) und für die Systemprogramme (systemtoolsbackend). Die Gruppe clockapplet zeichnet für die Einstellungen der Systemzeit zuständig. Die verschiedenen Aktionen sind in einer an die Organisationsstruktur von Freedesktop.org [2] angelehnten Baumstruktur angeordnet. Nach Anwahl einer Rubrik erscheinen im rechten Teil Informationen und die Einstellungsoptionen.
Die Einstellungen unterscheiden implizite und explizite Autorisierungen. Implizite Autorisierungen werden automatisch durch die Art der Anfrage erteilt, beispielsweise von der lokalen Konsole. Explizite Autorisierungen erteilt Policykit, indem der Anwender sich mit seinem Passwort authentisiert oder mit Grant... die entsprechende Berechtigung bekommen. Während ein Klick auf den Button Block... einzelne Autorisierungen zurücknimmt, setzt Revoke alle erteilten Berechtigungen der ausgewählten Aktion zurück.
Neben den Freedesktop.org-Schnittstellen verwaltet Policykit das Gnome-Uhren-Applet für die Uhrzeit im Panel. Sie finden es im Pfad org | gnome | clockapplet | mechanism. In der Grundeinstellung dürfen alle lokal angemeldete Benutzer nach Eingabe ihres Passworts die Systemzeitzone über das Uhrzeit-Applet verändern (Abbildung 5). Da für die Aktion Authentication (keep indefinitely) eingestellt ist, bleibt die Autorisierung auch nach dem Beenden der Sitzung oder einem Neustart des Rechners erhalten.
Abbildung 5: Erst nach der Eingabe des Passworts ist der Anwender berechtigt, die Zeitzone zu wechseln.
In der Standardkonfiguration dürfen normale Benutzer unter anderem Wechseldatenträger einbinden und auswerfen, das System herunterfahren oder das WLAN an- und ausschalten.
Einem Freund empfehlen
