📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)
| (同じ利用者による、間の13版が非表示) | |||
| 14行目: | 14行目: | ||
<br> | <br> | ||
PolKitのビルドに必要なライブラリをインストールする。<br> | PolKitのビルドに必要なライブラリをインストールする。<br> | ||
sudo zypper install dbus-1-devel libexpat-devel systemd-devel glib2-devel gobject-introspection-devel mozjs78-devel | sudo zypper install dbus-1-devel libexpat-devel systemd-devel glib2-devel gtk3-devel gobject-introspection-devel mozjs78-devel pam-devel duktape-devel | ||
<br> | |||
[https://www.freedesktop.org/software/polkit/releases/ PolKitの公式Webサイト] または [https://github.com/polkit-org/polkit GitHub]にアクセスして、ソースコードをダウンロードする。<br> | |||
<u>なお、[https://gitlab.freedesktop.org/polkit/polkit/-/tags GitLab]は、アーカイブされているため注意すること。</u><br> | |||
<br> | <br> | ||
ダウンロードしたファイルを解凍する。<br> | ダウンロードしたファイルを解凍する。<br> | ||
tar xf polkit-<バージョン>.tar.gz | tar xf polkit-<バージョン>.tar.gz | ||
cd polkit-<バージョン> | cd polkit-<バージョン> | ||
<br> | |||
また、<code>git clone</code>コマンドを実行して、PolKitのソースコードをダウンロードする。<br> | |||
git clone https://github.com/polkit-org/polkit | |||
cd polkit | |||
<br> | <br> | ||
PolKitをビルドおよびインストールする。<br> | PolKitをビルドおよびインストールする。<br> | ||
設定可能なオプションの一覧は、<code>meson configure</code>コマンドで取得することができる。<br> | |||
meson setup build --prefix=<PolKitのインストールディレクトリ> - | meson setup build --prefix=<PolKitのインストールディレクトリ> -Dos_type=suse -Dexamples=true -Dman=true -Dgtk_doc=true | ||
meson compile -C build | meson compile -C build | ||
meson install -C build | meson install -C build | ||
| 36行目: | 42行目: | ||
<br><br> | <br><br> | ||
== | == PolKitの構成 == | ||
PolKitの構成は、アクションと認可ルールに依存する。<br> | PolKitの構成は、アクションと認可ルールに依存する。<br> | ||
<br> | <br> | ||
* アクション (拡張子 : .policy) | * アクション : Action (拡張子 : .policy) | ||
*: XMLファイルとして記述されており、/usr/share/polkit-1/actionsディレクトリに存在する。 | *: XMLファイルとして記述されており、/usr/share/polkit-1/actionsディレクトリに存在する。 | ||
*: | *: 各ファイルに1つまたは複数のアクションを定義されており、各アクションには説明とデフォルトのパーミッションが含まれている。 | ||
*: システム管理者は、独自のルールを記述することができるが、システム既存のPolKitのファイルは編集してはならない。 | *: システム管理者は、独自のルールを記述することができるが、システム既存のPolKitのファイルは編集してはならない。 | ||
*: <br> | *: <br> | ||
* 認証ルール (拡張子 : .rules) | * 認証ルール : Authorization rules (拡張子 : .rules) | ||
*: | *: JavaScriptファイルとして記述されており、各ルールファイルは、アクションファイルで定義されたアクションを参照する。 | ||
*: ルールは、ユーザのサブセットに対してどのような制限を許可するかを決定する。 | *: ルールは、ユーザのサブセットに対してどのような制限を許可するかを決定する。 | ||
*: | *: <br> | ||
** / | *: 例えば、ルールファイルで制限的なパーミッションを無効にして、一部のユーザまたはグループにのみ許可を与えること等を行うことができる。 | ||
**: | *: <br> | ||
** / | *: 認証ルールファイルは、以下に示す2つのディレクトリのいずれかに配置される。 | ||
**: | *:* /etc/polkit-1/rules.dディレクトリ | ||
*:*: ユーザまたはシステム管理者の独自の設定に使用される。 | |||
*:*: <u>このディレクトリに、ユーザまたはシステム管理者がファイルを作成することを推奨する。</u> | |||
*:*: <br> | |||
*:* /usr/share/polkit-1/rules.dディレクトリ | |||
*:*: 主に、システムやパッケージ管理システムからインストールするソフトウェアに使用される。 | |||
*:*: このディレクトリに、ユーザまたはシステム管理者がファイルを作成することは非推奨である。 | |||
<br> | |||
PolKitは、特権ユーザの権利を抑制しようとするものではなく。非特権ユーザの特権サービスへのアクセスを拡張するために使用されるべきである。<br> | |||
セキュリティの観点からは、<code>sudoers</code>を使用することを推奨する。<br> | |||
<br><br> | <br><br> | ||
| 244行目: | 258行目: | ||
#: GUIがXディスプレイを開くことを許可するかどうかを記述する。 | #: GUIがXディスプレイを開くことを許可するかどうかを記述する。 | ||
<br><br> | <br><br> | ||
== PolKitの設定例 == | |||
==== GTKで開発されたGUIソフトウェアの場合 ==== | |||
PolKitにカスタムアクションを追加することにより、GTKで開発されたGUIソフトウェアをroot権限で実行することができる。<br> | |||
<br> | |||
例えば、<code>pkexec</code>コマンドを使用してgeditを実行する場合、<br> | |||
/usr/share/polkit-1/actions/org.freedesktop.policykit.gedit.policyファイルを作成する必要がある。<br> | |||
<syntaxhighlight lang="xml"> | |||
<?xml version="1.0" encoding="UTF-8"?> | |||
<!DOCTYPE policyconfig PUBLIC "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN" | |||
"http://www.freedesktop.org/standards/PolicyKit/1/policyconfig.dtd"> | |||
<policyconfig> | |||
<action id="org.freedesktop.policykit.pkexec.gedit"> | |||
<description>Run gedit program</description> | |||
<message>Authentication is required to run the gedit</message> | |||
<icon_name>accessories-text-editor</icon_name> | |||
<defaults> | |||
<allow_any>auth_admin</allow_any> | |||
<allow_inactive>auth_admin</allow_inactive> | |||
<allow_active>auth_admin</allow_active> | |||
</defaults> | |||
<annotate key="org.freedesktop.policykit.exec.path">/usr/bin/gedit</annotate> | |||
<annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate> | |||
</action> | |||
</policyconfig> | |||
</syntaxhighlight> | |||
<br> | |||
詳細を知りたい場合は、以下に示すURLにアクセスして、リファレンスマニュアルを参照すること。<br> | |||
http://www.freedesktop.org/software/polkit/docs/0.105/pkexec.1.html<br> | |||
<br> | |||
==== Qtで開発されたGUIソフトウェアの場合 ==== | |||
<u>Qtで開発されたGUIソフトウェアにおいては、PolKitにカスタムアクションを追加してもroot権限で実行することはできない。</u><br> | |||
これは、Qt GUIソフトウェア全体をroot権限で実行することは非推奨とされているからである。<br> | |||
<br> | |||
非推奨であるが、Qt GUIソフトウェア全体をroot権限で実行する場合は、<br> | |||
PolKitのカスタムアクションは作成せずに<code>env</code>オプションを付加することにより、<code>pkexec</code>コマンドで実行することができる。<br> | |||
<br> | |||
<u>ただし、動作には、/usr/share/polkit-1/actions/org.freedesktop.policykit.policyファイルが必要である。</u><br> | |||
# Qtで開発されたGUIソフトウェアをpkexecコマンドで実行する場合 | |||
export SHELL=/usr/bin/bash; \ # ログインシェルとターミナルのシェルが異なる場合 (例. ログインシェルがbashでターミナルのシェルがzshの場合等) | |||
pkexec --disable-internal-agent \ | |||
env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY XDG_RUNTIME_DIR=<任意のディレクトリ 例. $XDG_RUNTIME_DIR または /tmp/tmp-runtime等> \ | |||
<Qtで開発されたGUIソフトウェアのパス> | |||
<br> | |||
<u>また、QtベースのGUIソフトウェアからD-Busを通じてroot権限で実行されるQtベースのCUIソフトウェアを呼び出すことにより、PolKitを使用することができる。</u><br> | |||
<br> | |||
==== SkiaSharpで開発されたGUIソフトウェアの場合 ==== | |||
<u>SkiaSharpで開発されたGUIソフトウェアも、PolKitにカスタムアクションを追加してもroot権限で実行することはできない。</u><br> | |||
その場合、<code>gnomesu</code>コマンドまたは<code>kdesu</code>コマンドで実行することができる。<br> | |||
gnomesu <SkiaSharpで開発されたGUIソフトウェアのパス> | |||
# または | |||
kdesu <SkiaSharpで開発されたGUIソフトウェアのパス> | |||
<br><br> | |||
== X11 == | |||
デフォルトでは、セキュリティ上の理由から、rootは非rootユーザのXサーバに接続することができない。<br> | |||
しかし、必要であれば、rootユーザとして接続できるようにする方法が複数存在する。<br> | |||
<br> | |||
X11上でGUIソフトウェアを昇格権限で実行するための推奨される方法は、PolKitポリシーファイルを作成することである。<br> | |||
しかし、<code>pkexec</code>コマンドが注意喚起しているように、これは、<u>レガシープログラムにのみ使用されるべき</u>である。<br> | |||
<br> | |||
GUIソフトウェアは、<u>特権的な操作を、監査可能で、自己完結した、最小限のコード片に委ね、特権昇格を行った後に実行され、必要ない時には削除する</u>べきである。<br> | |||
<br> | |||
X11を使用している場合、GUIソフトウェアを昇格フレームワークでラップして、終了時に取得した特権を削除する。<br> | |||
gnomesu <GUIソフトウェアのパス> | |||
kdesu <GUIソフトウェアのパス> | |||
<br><br> | |||
== Wayland および XWayland == | |||
Waylandセッションにおいて、<code>su</code>コマンド、<code>sudo</code>コマンド、<code>pkexec</code>コマンドを使用して、GUIソフトウェアを実行する場合、以下に示すようなエラーが発生する。<br> | |||
No protocol specified | |||
Unable to init server: Could not connect: Connection refused | |||
(gedit:2349): Gtk-WARNING **: cannot open display: :0 | |||
<br> | |||
X11では、昇格した特権でGUIソフトウェアを実行する場合は、PolKitポリシーファイルの作成、または、<code>sudo</code>コマンドでターミナルから実行することができたが、<br> | |||
WaylandおよびXWaylandでは、Xサーバを起動したユーザのみがクライアントに接続できるよう設定されているため、これらの方法は使用できない。<br> | |||
<br> | |||
安全性は劣るが、<code>xhost</code>コマンドを実行して、rootユーザがローカルユーザのセッションに一時的にアクセスできる方法がある。<br> | |||
これを行う場合は、現在の(非特権)ユーザにおいて、以下に示すコマンドを実行する。<br> | |||
xhost si:localuser:root | |||
<br> | |||
GUIソフトウェアの終了後は、特権を削除する必要がある。<br> | |||
xhost -si:localuser:root | |||
<br><br> | |||
== PolKitを使用したサンプルコード == | |||
C/C++を使用したPolKitのサンプルコードを知りたい場合は、[[C++の応用 - PolKit]]のページを参照すること。<br> | |||
<br><br> | |||
__FORCETOC__ | __FORCETOC__ | ||
[[カテゴリ: | [[カテゴリ:RHEL]][[カテゴリ:SUSE]][[カテゴリ:Raspberry_Pi]][[カテゴリ:PinePhone]] | ||