Zapamiętywanie Haseł Administratora Przez Policykit

[tbed]

Witam!

 

Przy wielu czynnościach, które wykonuję używając Fedory, pojawia się okienko z prośbą o podanie hasła, czy to użytkownika, czy roota. Zauważyłem, że domyślnie jest zaznaczone zapamiętaj (np. w PackageKit). Trudno nie stwierdzić, że jest to bardzo wygodne, ale dręczy mnie pytanie o to, czy to nie niesie ze sobą jakiegoś ryzyka związanego z podglądnięciem hasła. Gdzie on je trzyma? Czy mogę z całą śmiałością pozwalać na zapamiętywanie ich?

 

Może pytanie jest idiotyczne, ale nie chciałbym się kiedyś potem przykro zdziwić.

 

Dziękuję z góry za odpowiedź i pozdrawiam

[adios]

PolicyKit nie działa jak sudo, czy su. Hasło nigdzie nie jest przetrzymywane. PolicyKit pozwala aplikacjom, które mają napisane do niego polisy bezpieczeństwa na uzyskanie "biletu" i dostęp do konkretnych operacji. Tak więc taka autoryzacja nie uzyskuje kontroli nad całym systemem, a jedynie nad kilkoma zadaniami zawartymi w polisie dotyczących poszczególnych aplikacji.

 

[dj_oko]

Zauważ, że PolicyKit nie proponuje zapisania hasła roota w żadnym keyringu. On działa nieco inaczej - aplikacje z nim zgodne sprawdzają, czy mają upoważnienie na wyknwanie określonych czynności, gdy uruchomione są w danym kontekście(użytkownik, upoważnienia, reguły).

[tbed]

Czyli reasumując...? Dla czynności związanych z instalacją oprogramowania mogę upoważnić je na zawsze bez jakiegoś wielkiego ryzyka związanego z bezpieczeństwem?

[Fedoras]

Niestety to nie działa zero-jedynkowo: bezpiecznie<-->niebezpiecznie. Zgodnie z tym co wyjaśnił dj_oko, to do czego zapamiętasz upoważnienie będzie dostępne dla usera. Jeżeli ktoś przejmie uprawnienia tegoż usera będzie miał dostęp do uprawnień roota w zakresie jaki przyznałeś userowi.

 

Reszta to twoja decyzja. Nie sądzę aby był sens podejmować decyzję za ciebie. Ja radzę sobie z wpisywaniem haseł za każdym razem. Jest to do przeżycia.

 

 

[tbed]

Rozumiem. W takim razie powstrzymam się od przydzielania biletu czynnościom związanym z instalacją pakietów, dla np. cpufreq-applet udzielę

Dziwi mnie tylko to, że choć niesie to ze sobą pewne ryzyko, to jest to domyślnie proponowane przez system...

[dj_oko]

Trochę cię uspokoję

Nie da się zagwarantować trwałej autoryzacji dla instalacji pakietów niepodpisanych przez Fedora Project. Zatem "jedyne" co możesz zrobić automatycznie, to instalowanie programów z repozytorium, a one do najbardziej niebezpiecznych na świecie jednak nie należą

 

System oferuje domyślne zapamiętanie hasła dla instalacji aktualizacji krytycznych, dodawania oprogramowania i akceptowania licencji. Dodawanie klucza, instalacja lokalnych plików itp. są objęte innym kontekstem zaufania. Wszystko to ładnie widać w aplecie "Upoważnienia".

 

 

[Edit]

Z tym przejmowaniem użytkownika też nie jest tak łatwo - bo musi to być lokalny user, w lokalnej sesji na lokalnej konsoli

[tbed]

Hmm, miłe Pomyślę raz jeszcze, czy nie wybrać zapamiętywania w takim razie. Wygląda to na całkiem sensowną i logiczną konstrukcję, która dodatkowo, jak piszesz, nie jest taka niebezpieczna.