設定 - PolKit
概要
PolKit(以前は、PolicyKitとして知られていた)は、非特権ユーザセッションと特権システムコンテキストの間のネゴシエータとして機能するアプリケーションフレームワークである。
PolKitは、ユーザ、グループ、名前により特定のアクションを制限する機能を持つ。
ユーザセッションのプロセスが、システムコンテキストでアクションを実行するごとに、PolKitはクエリされる。
所謂、ポリシーで指定された設定に基づいて、"yes"、"no"、"needs authentication"である可能性がある。
sudoのような古典的な権限承認プログラムとは異なり、PolKitはセッション全体に対してroot権限を与えるのではなく、各アクションに対してのみ権限を与える。
利用可能な認証エージェント
ユーザがセッションを開始する時(CUI環境またはGUI環境)、各セッションは権限と認証エージェントで構成される。
権限はシステムメッセージバス上のサービスとして実装されており、一方、認証エージェントはセッションを開始したユーザを認証するために使用される。
現在のユーザは、例えば、パスフレーズを使用して、その信頼性を証明する必要がある。
各デスクトップ環境は、独自の認証エージェントを持っており、通常、どのデスクトップ環境を選択しても自動的に起動する。
PolKitの構造
PolKitの構成は、アクションと認可ルールに依存する。
- アクション (拡張子 : .policy)
- XMLファイルとして記述されており、/usr/share/polkit-1/actionsディレクトリに存在する。
- 各ファイルは1つまたは複数のアクションを定義して、各アクションには説明とデフォルトのパーミッションが含まれている。
- システム管理者は、独自のルールを記述することができるが、システム既存のPolKitのファイルは編集してはならない。
- 認証ルール (拡張子 : .rules)
- JavaScriptファイルとして記述されており、以下に示す2つのディレクトリに配置される。
- 各ルールファイルは、アクションファイルで指定されたアクションを参照する。
- ルールは、ユーザのサブセットに対してどのような制限を許可するかを決定する。
- 例えば、ルールファイルで制限的なパーミッションを無効にして、一部のユーザにのみ許可を与えること等を行うことができる。
- /usr/share/polkit-1/rules.dディレクトリ
- 主にパッケージ管理システムからインストールするサードパーティのソフトウェアに使用される。
- /etc/polkit-1/rules.dディレクトリ
- ユーザの独自の設定に使用される。
利用可能なコマンド
PolKitには、特定のタスクのためのコマンドが存在する。
- pkactionコマンド
- 定義されたアクションの詳細を取得する。
- pkcheckコマンド
- processコマンドまたは
--system-bus-nameオプションで指定されたプロセスが認可されているかどうかを確認する。
- processコマンドまたは
- pkexecコマンド
- 認可されたユーザが他のユーザとして特定のプログラムを実行することを許可する。
- pkttyagentコマンド
- テキスト形式の認証エージェントを起動する。
- この認証エージェントは、各デスクトップ環境に独自の認証エージェントが存在しない場合に使用される。
PolKitが使用されているソフトウェアの例
- PulseAudio
- PulseAudioデーモンのスケジューリング優先順位の設定
- CUPS
- プリンタの追加、削除、編集、有効化、無効化
- バックアップマネージャ
- スケジュールの変更
- GNOME
- GConfによるシステムおよび必須値の変更
- システム時間の変更
- libvirt
- ローカルな仮想化システムの管理・監視
- NetworkManager
- 接続の適用と変更
- PolKit
- 他ユーザーの読み取りと権限変更
- デフォルトの変更
- PackageKit
- パッケージの更新と削除
- リポジトリの変更と更新
- ローカルファイルのインストール
- ロールバック
- リポジトリキーのインポート
- EULAを受け入れる
- ネットワークプロキシの設定
- System
- Wake on LAN
- 固定デバイス、ホットプラグ可能なデバイス、暗号化されたデバイスのマウント/アンマウント
- リムーバブルメディアの取り出し、復号化
- WLANの有効化/無効化
- Bluetoothの有効化/無効化
- デバイスアクセス
- システムの停止、サスペンド、ハイバネート、および再起動
- ドッキングステーションのドッキング解除
- パワーマネージメント設定の変更
- YaST
- 製品の登録
- システムの時刻と言語を変更する
権限の種類
PolKitが有効なプロセスが特権的な操作を実行するごとに、PolKitはこのプロセスにその権限があるかどうかを尋ねる。
PolKitは、このプロセスに対して定義されたポリシーに従って、"yes"、"no"、"要認証"のいずれかを選択する。
デフォルトでは、ポリシーは暗黙の特権を含んでおり、自動的に全てのユーザに適用される。
また、特定のユーザに適用される明示的な特権を指定することも可能である。
==== 暗黙の特権 REPORT DOCUMENTATION BUG#EDIT SOURCE
暗黙の特権は、アクティブなセッションと非アクティブなセッションのいずれに対しても定義することができます。アクティブなセッションとは、現在作業しているセッションのことです。例えば、他のコンソールに切り替えた場合は、非アクティブになります。暗黙の特権を "no" に設定すると、どのユーザーも認証されませんが、 "yes" に設定すると、すべてのユーザーが認証されます。しかし、通常、認証を要求することが有用です。
ユーザは、rootとして認証するか、selfとして認証するか、どちらかの方法で認証することができます。どちらの認証方法も、4種類のバリエーションがあります。
PolKitの設定
ユーザの独自の特権 (カスタム特権)
設定ファイルを作成または修正して特権を調整することにより、例えば、特定のチームのPC等の異なるPCに同じポリシーセットを配備することができる。
このように、暗黙的および明示的な特権を変更することができる。
- /etc/polkit-default-privs.localファイル
- ユーザの独自の特権(カスタム特権)を行う場合に使用する。(優先順位は最優先)
- /etc/polkit.d/rules.d/<ファイル名>.rulesファイル
- パッケージ管理システムからインストールしたサードパーティのソフトウェアが使用する。
- /usr/share/polkit-1/rules.d/<ファイル名>.rulesファイル
- パッケージ管理システムからインストールしたサードパーティのソフトウェアが使用する。
ユーザの独自の特権(カスタム特権)は、/etc/polkit-default-privs.localファイルで定義する。
このファイルで定義された特権は、他の設定ファイルで定義されたものよりも優先される。
ユーザの独自の特権を定義または変更する場合、以下に示すように記述する。
<権限を付与するID> <any session>:<inactive session>:<active session>
定義または変更を有効にするためには、/sbin/set_polkit_default_privsコマンドを実行する必要がある。
このコマンドは、現在、設定されている/etc/polkit-default-privsファイルに従ってPolKitのアクションを設定する。
sudo set_polkit_default_privs
全てのPolicyKitの特権を元に戻す。
sudo rm -r "/var/lib/polkit/*" sudo set_polkit_default_privs
アクションルールの追加
利用可能なアクションは、システムにインストールされている追加パッケージにより異なる。
また、pkactionコマンドを実行することにより、定義された全てのアクションを表示することができる。
独自のアクションルールを追加するには、以下の例に示すような構造を持つ.policyファイルを作成して、id属性に適切な値を追加して、特権を定義する。
以下の例では、GParted(GNOMEパーティションエディタ)のアクションルールを記載する。
# /usr/share/polkit-1/actions/org.opensuse.policykit.gparted.policyファイル
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
"-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
"http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd">
<policyconfig> ...(1)
<action id="org-opensuse-policykit-gparted"> ...(2)
<message>Authentication is required to run the GParted Partition Editor</message>
<icon_name>gparted</icon_name>
<defaults> ...(3)
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin</allow_active>
</defaults>
<annotate ...(4)
key="org.freedesktop.policykit.exec.path">/usr/sbin/gparted</annotate>
<annotate 4 ...(5)
key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
</action>
</policyconfig>
- policyconfigエレメント
- ポリシーファイルのルート要素
- actionエレメント
- 1つの単一のアクションを含む
- defaultsエレメント
- 値
yesは、認証なしで該当ソフトウェアを実行することが許可されることを意味する。
- 値
noは、該当のソフトウェアを実行する権限が無いことを意味する。 - 値
auth_selfは、ユーザは特権が要求されるたびに自分のパスワードで認証する必要があることを意味する。 - 値
auth_self_keepは、auth_selfと同様であるが、認証が一定時間続くことを意味する。 - 値
auth_self_keep_sessionは、ユーザはセッションごとに1度だけ自身のパスワードで認証する必要があり、特権はセッション全体に対して付与される。 - 値
auth_self_keep_alwaysは、ユーザが自身のパスワードで認証する必要があるのは1度だけで、現在と将来のセッションに対して特権が付与される。 - 値
auth_adminは、管理者として認証が必要であることを意味する。 - 値
auth_admin_keepは、auth_adminと同様であるが、認証が一定時間続くことを意味する。 - 値
auth_admin_keep_alwaysは、管理者として認証が必要であるのは1度だけで、現在と将来のセッションに対して特権が付与される。
- allow_inactiveエレメント
- SSHやVNCのようなリモートセッションでログインした場合の特権
- allow_activeエレメント
- TTYやXディスプレイでマシンに直接ログインした場合の特権
- allow_anyエレメント
- 上記の両方で使用する特権
- 値
- annotateエレメント
- PolKitがどのようにアクションを実行するかに関する特定の情報が含まれる。
- 実行ファイルへの絶対パスを記述する。
- annotate 4エレメント
- GUIがXディスプレイを開くことを許可するかどうかを記述する。