Home / LinuxUser / 2010 / 07 / Admin-Rechte gezielt vergeben mit PolicyKit

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Mandriva gibt Distribution in die Hände der Community
(268 Punkte bei 24 Stimmen)
Neues vom Systemd
(179 Punkte bei 5 Stimmen)
Mandriva in Nöten
(161 Punkte bei 4 Stimmen)
Mageia 2 ist fertig
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:
Shopping
Topsuche
 
Yatego Deutschlands größte Shoppingmall. 10000 Shops,
3.5 Mio Artikel. Alle Bestseller, Servertechnik und Technik Themenwelten.
Notebooks und Netzwerkhardware bei Mercateo günstig kaufen.
Internet Telefonie mit VoIP Telefonen von Gigaset
Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.
Günstige Digitalkameras finden Sie im Preisvergleich.

« Zurück 1 2 3 4 5

Türsteher

Admin-Rechte gezielt vergeben mit PolicyKit

Tim Schürmann

Aus: LinuxUser 7/2010

Extrawurst

Anschließend richten Sie im Unterverzeichnis /etc/polkit-1/localauthority/50-local.d eine spezielle (Ausnahme-)Regel für den Benutzer carlo ein (Listing 4). Damit darf carlo ab sofort das Programm apt-get per pkexec starten, ohne sein Passwort eingeben zu müssen (Abbildung 5). pkexec prüft allerdings nicht, welche Parameter ein Benutzer dem Programm mit auf den Weg gibt. carlo könnte im Beispiel folglich irgendein beliebiges (Schad-)Paket einspielen.

Listing 4 

[Programm apt-get für Carlo freischalten]
Identity=unix-user:carlo
Action=de.linuxnewmedia.beispiel.run-apt-get
ResultActive=yes
ResultInactive=no
ResultAny=no
Abbildung 5

Abbildung 5: Mit entsprechend gesetzten Rechten darf auch ein normaler Benutzer Programme installieren. In diesem Fall muss carlo nur sein eigenes Passwort preisgeben, apt-get läuft anschließend dennoch mit Root-Rechten.

Fazit

Mit PolicyKit lassen sich äußerst flexibel maßgeschneiderte Zugriffsprofile erstellen. Im Gegensatz zu su und sudo erhält der Anwender nicht gleich einen Freifahrtschein für die gesamte Anwendung, sondern bleibt auf einzelne (System-)Funktionen beschränkt. Zudem muss er nicht umständlich auf der Kommandozeile hantieren, sondern gibt höchsten sein Passwort preis.

In komplexen Szenarien fallen die Regeln jedoch schnell unübersichtlich aus, das Erstellen und Warten via Texteditor ist alles andere als komfortabel. Darüber hinaus setzt PolicyKit ein weiteres Rechtemanagement auf das von Linux. Selbst wenn Sie carlo den Start eines Programms mit PolicyKit verbieten, kann er es eventuell weiterhin direkt oder über sudo ausführen. Sie müssen folglich sowohl die Einstellungen von PolicyKit als auch die herkömmlichen Rechte im Blick behalten.

Nicht zuletzt müssen Entwickler PolicyKit explizit in ihren Anwendungen unterstützen, die Desktopsysteme einen Passwort-Bildschirm bereitstellen und die Distributionen PolicyKit konsequent einsetzen. Wie die (noch) aktuellen Fassungen von OpenSuse, Fedora und Ubuntu zeigen, besteht zumindest beim zuletzt genannten Punkt noch reichlich Aufholbedarf. 

Infos

[1] PolicyKit: http://www.freedesktop.org/wiki/Software/PolicyKit

« Zurück 1 2 3 4 5

Einem Freund empfehlen    Druckansicht Bookmark and Share
Kommentare

Hits
Wertung: 0 Punkte (0 Stimmen)

Schlecht Gut

Infos zum Autor

Tim Schürmann

Tim Schürmann

Tim Schürmann ist Diplom-Informatiker und derzeit als freier Autor unterwegs. Mehr Informationen finden Sie auf seiner Homepage unter http://www.tim-schuermann.de.

Infos zur Publikation

Infos zur Publikation

LinuxUser 06/2012

Aktuelle Ausgabe kaufen:

Heft bestellen Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,50 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 56,10) können Sie im LNM-Shop bestellen.

Tipp der Woche

Adobe AIR
Adobe-AIR-Programme installieren und (manuell) starten
Tim Schürmann, 14.05.2012 13:09, 0 Kommentare

Es gibt sie noch: neue Anwendungen, die Adobes Integrated Runtime voraussetzen. Aktuellstes und vermutlich auch größtes Beispiel ist das Adventure Botanicula

Aktuelle Fragen

gibt es ein Kommandozeilen Tool, um ein X11-Fenster in ein Anderes einzubetten?
GoaSkin , 21.05.2012 16:44, 0 Antworten
Das XEmbed-Protokoll ist u.A. dazu gedacht, dass man eine X11-Anwendung in eine andere wie ein Wi...
Apache2, Options -Indexes geht nicht
no no, 12.05.2012 19:01, 8 Antworten
Habe in apache2.conf folgendes stehen: Options -Indexes ...
LInux auf Dell LS H500
Andreas Endresl, 09.05.2012 08:54, 2 Antworten
Habe einen alten Dell Latitude LS H500 nur mit ext. Floppy und CD es geht nur immer eines von den...
Datenwiederherstellung unter Ubuntu 12.04 mit "Simple Backup" nach Umzug von Linux Mint
Christian Lottmann, 07.05.2012 13:33, 0 Antworten
Vor dem Umzug auf Ubuntu 12.04 habe ich unter Linux MInt mit "Simple Backup" voll (15.4.2012) und...
DKMS für den propritären NVIDIA-Treiber
Commander Data, 26.04.2012 22:02, 2 Antworten
Hallo an die Gemeinde. Ich habe hier ein interessantes Stück openSuSE gefunden. http://forums.op...

[Impressum] [Fragen zur Web-Seite] [Fragen zu Stories] [Mission

Datenschutzerklärung   | © 2012Linux New Media AG

Linux New Media Websites
Deutschland: [Linux-Magazin] [ADMIN Magazin] [LinuxUser] [EasyLinux] [Linux-Community] [Ubuntu User] [Smart Developer] [Android User] [Linux-Magazin Academy]
International: [Linux Magazine] [ADMIN Magazine] [Ubuntu User] [Smart Developer] [Linux Magazine Academy]
Nordamerika: [Linux Pro Magazine] [ADMIN Magazine] [Ubuntu User] [Smart Developer]
Polen: [Linux Magazine] [EasyLinux]
Spanien: [Linux Magazine] [Ubunutu User]
Niederlande: [Linux Magazine Academy]
Brasilien: [Linux Magazine] [ADMIN Magazine] [Ubuntu User] [Guia de TI]