Обновление без root в Xubuntu

sudo запрашивает пароль при запуске?

UPD: Скорее всего, юзер состоит в группе admin - потому и не спрашивает. Это фича.

Ну так там update-manager висит в фоне от рута. Оно периодически проверяет обновления и выводит уведомление в трее. Я несколько лет назад удалил его, т.к. предпочитаю проверять обновления сам когда мне надо. Просто удаляешь пакет update-manager-core (оно потянет за собой некоторые зависящие от него пакеты, например update-manager-kde в моём случае).

Скорее всего, юзер состоит в группе admin - потому и не спрашивает. Это фича.

Нет.

Что «нет»?
https://bugs.launchpad.net/ubuntu/ source/update-manager/ bug/826276

Что «нет»?
https://bugs.launchpad.net/ubuntu/ source/update-manager/ bug/826276

Возможно это такая фича висящего в фоне update-manager, который там всё равно висит от рута, т.к. apt-get не работает без sudo, несмотря на то что пользователь в группе admin.
http://img850.imageshack.us/img850/2648/screenshot1369415176.png

Я думаю, это не фича, а баг. Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

Мне интересно именно откуда и почему. До выхода обновления до 12.04.1 меня спрашивало пароль.

На этом можно написать великолепный windows-like вирусняк. Так какого фига, мне интересно от чего, почему, у меня-ли одного?

Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

Нет, насколько я помню, в фоне висел демон под под рутом, а в юзерспейс уже клиент, который выводил уведомления в трее и другие диалоги, с демоном общался наверное по dbus.

На этом можно написать великолепный windows-like вирусняк

Ну какой ещё нахрен вирус? Всё что умеет делать update manager, это обновлять систему.

Скорей всего особенность апдейт-менеджера. Линус ругался, что для установки принтера нужно пароль рута вводить. Вот и.

Это фича. И оно запрашивает пароль при обновлении ядра, например. А при обновлении прикладного ПО не запрашивает.

Так что не переживай — glibc без тебя никто не обновит, а на всякие totem'ы и tunar'ы пофиг.

Таким методом обновлялось ядро. Тогда не придал этому значения так как тольког залогинился.

Вас, особо не понимающих в безопасности на уровнен процессов, уже и слышать не хочется.

Это как сказать «желудок был готов, поэтому рот открыт.» Если у Вас так - вперед, я в этот рот могу много чего накидать.

Таким методом обновлялось ядро

Не ври. При обновлениях ядра всплывает окно ввода пароля.

Править уже не могу. Заметил второй раз именно когда меня попросили перезагрузиться после обновления, когда я ТОЧНО не вводил пароль. Ядро обновилось, пароль кроме логина не вводил, но, так как только загрузился до этого, подумал что пароль отдало окно логина. Копал в эту сторону, ничего не накопал.

Вас, особо не понимающих в безопасности на уровнен процессов, уже и слышать не хочется.

Херню не неси. Рутовый процесс, висящий в фоне, умеет только принимать сообщение «обновить» по dbus от другого процесса под твоей учёткой и выполнять обновление, если такое сообщение поступило. В каком месте тут уязвимость и что тут может поделать вирус, умник?

Читай выше. Тогда скинул на логин. Сейчас уже в который раз просто не просит пароля. уже обновлялось что только угодно...

А Вам по нервной системе подать команду «свали отседова» вы только рады будете. Ведь Вам известную команду подали, а не «стань раком».

Вы знаете, я думал Вы просто протеста ради, а оказалось, тупости для.

Можно еще посмеюсь?

Дай из юзерспейса команду по dbus

Не знаю что там у тебя, у меня даже сразу после логина просит пароль на обновление. Как писала выше не для любого апдейта, но просит.

Последний раз просило с неделю назад. Вчера обновления без пароля были.9

Кубунта 12.10, постоянно спрашивает пароль. ЧЯДНТ?

Вот я и озаботился сиим положением вещей J и у Вас все в порядке. Хначит Хубунта мутит. Если знаете, кастаните хубунтовцев.

И еще 2 вопроса:

1) где настраивается спрос паса на обновления

2) уж извините, Вы - дама?

Вот тут написано, когда оно запрашивает пароль, а когда нет. также написано как отключить такое поведение, если тебя не устраивает https://wiki.ubuntu.com/SecurityTeam/FAQ

Читай сразу раздел про update-manager

Я сюда влезу со своими школьными знаниями попредполагать: посмотри suid-бит, посмотри sudoers, посмтори чем-нибудь владельца процесса.

Да над Вами можно смеяться с самого начала треда. Да, запустить мэнэджер можно и от юзера, только Вы знаете.....? От кого он стучится в репозиторий и от кого в /sbin, например?

Вы не бойтесь, мы можем и объяснить и показать, если не понимаете, спрашивайте...

Так, не смотри ничего. Там так смешно написано:

Update Manager doesn't prompt for security updates

Why does update-manager no longer prompt for the user's password? As of Ubuntu 11.10, update-manager no longer prompts for the user's password to apply updates. This was decided to improve usability and to make it easier for users to apply security updates and therefore increase system security. The rationale is as follows: Like in previous releases, by default only people in the admin group are allowed access to perform security updates. For environments where this change is deemed not appropriate, this functionality can be disabled by the administrator via PolicyKit or by creating users that are not in the admin group (a recommended practice to begin with).

Короче, вырубается через PolicyKit или таки удалять из admin. Что-то непонятно, чего это пользователя в эту группу добавлять?

Уже думал скастовать trueadmin чтобы помог оттрассить процесс. На счет бита я не на столько в курсе, не знаю. sudoers тут не в кассу точно.

В общем либо создай юзера не входящего в группу admin, либо через PoliciKit отключи фичу. Сразу скажу, что второе не знаю как сделать, гугле в помощь.

Ну, если не знать правильного ответа, то очень даже в кассу - там же можно указывать приложения с nopasswd.

Я не особо чтец по ихнему. Как отключить? В 12-04 сначала спрашивало всегда, вроде.

И кто-что теперь ответственно за это, и какого этого?

А Вам по нервной системе подать команду «свали отседова» вы только рады будете. Ведь Вам известную команду подали, а не «стань раком».

Мда... Ещё раз объясняю для тупых. Фоновый процесс с правами root слушает dbus. Он знает только команду «обновить», других команд не существует. Он может только по dbus получить эту команду от непривилегированного процесса и выполнить обновление. В каком месте тут уязвимость, ещё раз спрашиваю? Иди кури матчасть вместо того чтобы огрызаться и постить ересь.

Вирус без прав root сделать ничего не сможет, кроме как послать ту же команду «обновить» по dbus. Ой как страшно.

Посмотри

/var/lib/polkit-1/localauthority/10-endor.d/com.ubuntu.desktop.pkla

[Update already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=yes

/var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

[Require password to upgrade already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=auth_admin

Взято с http://askubuntu.com/questions/86773/update-manager-doesnt-ask-for-a-password.

Опередил)) нашла эту же ссылку))

Чую, сейчас, если я займусь всем этим у меня руки будут «по колено в крови»

Видимо - нужен другой дистр.

Сегодня в толксе будет очередной вопрос..

Спасибо.
OperaSoftvvare тоже спасибо.
но не полезу. серваки у меня до сих пор на 10.04, а дистр, по ходу пора менять.

Я тут еще потроллю,сами видите кого, а по теме, создам в толксах очередной тред «куда свалить» если не подскажут, останусь. Уже слишком всего этого для меня.

Ты глупый или как?:) Мне и нужен этот фоновый процесс, чтобы его не стало, чтобы не было мостика этого между юзерспэйс и суперадминистратором, и Я не собираюсь доверять этому процессу, я могу в него кинуть 100 комманд в секунду из юзерспейса, ты мне ответишь что он сделает при этом?

В школе компьютерной безопасности не учат, и в институте не во всяком. Ты сюда пришол чего ради?

Да, меня просто задеть, но сложно переспорить, я как та стандартная девка из вконтакте. Может ты извращенец?

Если вызвать установку обновлений из трея

А само ядро?
Вообще в 13.04 (да и ранее вроде как было) просит пароль только если новая установка (ядро как пример).

Мне тут уже пояснили
и пояснили даже как обходить, но меня в этом случае не устраивает сам дистр.

не было мостика этого между юзерспэйс и суперадминистратором

Да, надо запретить sudo, su, и бит suid. А ping страшная утилита, из-за нее в Линуксе могут быть вирусы

Процесс находится в юзерспэйс, так? Так какого черта он имеет привелегии?

Сейчас старайся хотя бы закончить 8й класс, потом, на первом курсе расскажут.

демон под под рутом, а в юзерспейс уже клиент

Зачем ты болтаешь с одноклассником здесь? Идите в мэйлагент.

фича висящего в фоне update-manager, который там всё равно висит от рута

оно самое

Уважаемый, поясните, в чем я не прав? Не в том-ли что неизвестный поцесс имеет недокументированный выход в юзерспейс, не в том-ли что я хочу избежать сего непотребства, и, видя сие у себя на десктопе начал беспокоиться?

меня в этом случае не устраивает сам дистр

Пользуйся тогда другим дистром (Аdamantix типа), что за шиза-то такая?

Ты глупый или как?:) Мне и нужен этот фоновый процесс, чтобы его не стало,

Я тебе, дебилу, в первом своём комментарии написал как его удалить.