Права на установку пакетов обычному пользователю

[Sly_tom_cat]

Только группа та не администраторы, а sudo называется.

[Tear]

В данном случае добавьте нужных пользователей в группу администраторов, по моему и гуи есть для этого в системе.

В ГУИ - Запустить приложение "Учётные записи" - В списке выбрать нужную учётную запись - Нажать Разблокировать - Рядом с надписью "Тип учетной записи" вместо "Обычный" выбрать "Администратор". Profit!

[leszhek]

Кому интересно, решается это действительно через PolicyKit.

В /etc/polkit-1/localauthority/50-local.d (или в любом из других каталогов, внутри /etc/polkit-1/localauthority/, в зависимости от приоритета проверки) создаем файл локального правила 01-apt.pkla:

Код: [Выделить]

[Action for install packages]
Idetity=unix-group:groupname
Action=org.debian.apt.install-or-remove-packages
ResultActive=auth_self
ResultInactive=auth_self
ResultAny=auth_self
groupname - меняем на нужную группу и все работает.

Внимание!!! Работает только с PolicyKit до версии 0.105, с версии 0.106 правила пишутся на JavaScript.

Если уважаемые модераторы разрешат, я приложу сюда 2-3 ссылки на ресурсы более полно описывающие этот процесс.

[AnrDaemon]

Код: [Выделить]

apt-get remove xserver-xorg --yes"Зачем мне сервер, у меня простая рабочая станция. А от него всё только тормозит."

[alsoijw]

AnrDaemon, сначала захотел пожаловаться, а потом понял смысл шутки.

[leszhek]

Код: [Выделить]

apt-get remove xserver-xorg --yes"Зачем мне сервер, у меня простая рабочая станция. А от него всё только тормозит."

AnrDaemon, как этот пост помог решить стоявшую передо мной задачу?

По-моему, это просто истерика =)

[alsoijw]

leszhek,

Разрешить выполнять конкретно определённые команды только для пользователя на определенном хосте и без пароля:

имя_пользователя название_хоста= NOPASSWD: /usr/bin/halt,/usr/bin/poweroff,/usr/bin/reboot,/usr/bin/pacman -Syu

Да здравствует ХАОС!

[thunderamur]

leszhek, объясни смысл ограничивать пользователя только установкой пакетов, вместо того, чтобы дать ему sudo?

[leszhek]

leszhek, объясни смысл ограничивать пользователя только установкой пакетов, вместо того, чтобы дать ему sudo?

Менять настройки системы пользователю все таки нельзя =)), так же, как и просматривать информацию его (этого пользователя) не касающуюся. А с полным доступом к sudo - понимаете сами, изменить и просмотреть можно все, что угодно.

Простая установка пакетов из репозитория Canonical не представляет такой угрозы безопасности.

[Punko]

leszhek, установка еще возможно. А вот удаление?

[alsoijw]

Простая установка пакетов из репозитория Canonical не представляет такой угрозы безопасности.

Как посмотреть...

[thunderamur]

leszhek, чтобы дать посмотреть то, что не нужно используют шифрование. Права рута при наличие физического доступа к машине на это не влияют.
Пользователь добавил сообщение 02 Сентября 2016, 17:48:57:leszhek, и мы вроде о детском ПК.

[leszhek]

leszhek, чтобы дать посмотреть то, что не нужно используют шифрование. Права рута при наличие физического доступа к машине на это не влияют.
Пользователь добавил сообщение 02 Сентября 2016, 17:48:57:leszhek, и мы вроде о детском ПК.

=)), нет, я писал, что детский ПК - это полигон и на нем проходит эксперимент. Вот здесь:

В данном случае, пусть удаляют и переворачивают. Машина стоит у детей в комнате, на ней сейчас эксперементирую (дать старшему ребенку возможность устанавливать ПО из разрешенных репозиториев) - для рабочей сетки необходима возможность позволить пользователям устанавливать на свои локальные машины всю "мешуру" по вкусу (браузеры, почтовые клиенты, офисные приложения и проч). Задачи, примерно, схожи. Риски тоже (если что-то и будет снесено на локальной машине пользователя, общую работу это не затронет).

И здесь же обозначил, что для рабочей сетки задача похожа.
(собственно и детей ограничил в sudo, чтобы решить рабочую задачу, ну и на будущее =)) )

Что касается шифрования, я никогда с этим не сталкивался. Но, обязательно посмотрю.

Полноценный sudo позволит прописать "левые" репозитории, внести изменения в настройки системы (в любой файл в /etc), а так же добавиться в любые группы. Групповой доступ даст возможность лазить по общим документам в рамках групп проектов, думаю, что шифрование в такой ситуации не поможет. А "случайное" добавление себя в группу adm - вообще позволит получить права root (со всем системным окружением).

leszhek, установка еще возможно. А вот удаление?

Punko, как я уже писал, удаление пакетов меня не пугает. Этим будет заблокирована работа отдельной машины, а при условии, что файлы и настройки пользователей находятся на сетевом ресурсе, и геометрия дисков и параметры машин одинаковые - приведение рухнувшей системы в чувство не составляет особого труда и не займет много времени.

[Karl500]

Имея возможность установки пакетов можно сделать все, что угодно. Достаточно подготовить пакет, который даст возможность (например) менять пароль рута (как - навскидку пара возможностей есть, от замены /sbin/passwd до просто замены /etc/shadow), установить его - и бескровная революция совершена. Нет разве?

[leszhek]

Имея возможность установки пакетов можно сделать все, что угодно. Достаточно подготовить пакет, который даст возможность (например) менять пароль рута (как - навскидку пара возможностей есть, от замены /sbin/passwd до просто замены /etc/shadow), установить его - и бескровная революция совершена. Нет разве?

Подготовленный пакет - Вы имеете ввиду локальный файл? (не думаю, что в официальном репозитории Canonical есть такие пакеты)
Локальные файлы пользователю устанавливать нельзя, за это отвечает действие org.debian.apt.install-file. А на него у пользователя прав нет. В том формате, в котором прописано правило, пользователь может устанавливать пакеты только из разрешенных репозиториев не имея возможности прописать реп самостоятельно, или установить локальный файл. Прав на сборку из исходников, естественно, так же нет.

Вручную заменить passwd и shaddow пользователь не может, т.к. полных прав на sudo у него тоже нет.