pkexec, дыра или фича?

Методом тыка нашёл закономерность, что пользователь с ID 1000 может выполнять подобный трюк, но это не точно.

Хз что у вас за дистр, на Ф41:

pkexec cat /etc/shadow
Error executing command as another user: Request dismissed

А до этого спросил мой пароль я же wheel.

Дистрибутив Arch.
Кстати достаточно вписать pkexec и сразу получаешь root.

Ну напиши им в багзиллу (или хз что там у них) пусть эту дыру закроют.

Тоже считаешь, что так быть не должно?
Я раньше не вникал, как работет PolKit, может так и должно быть (не думаю).

С чего бы это должно? Вы же тему подняли что это не должно так быть. Значит сами понимаете что не должно.

И у меня это не так.

Проверил на Ubuntu 24.04 и 18.04, просит пароль от root.
Значит точно баг.

А до этого спросил мой пароль я же wheel.

Круто, спасибо. Убрал себя из wheel и начало спрашивать пароль пользователя.

pkexec это одна большая дыра, да.

Начал писать программу на Qt, которая должна в /etc вносить некоторые правки.

Скорее всего у тебя в проге тоже дыра получится с таким подходом.

Нужно настраивать Mesh VPN, так что всё в порядке.
Запускать будет монтажник, который не умеет в терминал.

Просит ввести пароль, арколинукс (арче-семейство).

Круто, спасибо. Убрал себя из wheel и начало спрашивать пароль пользователя.

Ну тогда скорее всего нет дыры, полазь там по /etc/sudoers, там поди у wheel стоит но-пассворд на все или на эту команду …

Мой пользователь в wheel, но pkexec просит пароль

$ id -nG
<user> sys network scanner power rfkill users video storage optical lp audio wheel

Я впервую очередь посмотрел туда и в /etc/sudoers.d.
Похоже PolKit тоже обрабатывает группу wheel. Просто я не грамотный и не знал этого.

У меня скромнее.

$ groups 
user tty uucp wheel

В man’е ничего про wheel не написано. В документации к другим дистрам необходимо добавить правило, чтобы wheel имел права.
И только в Arch Wiki есть абзац:

Polkit works by delimiting distinct actions, e.g. running GParted, and delimiting users by group or by name, e.g. members of the wheel group.

Делай раз:

$ pacman -Ql polkit | grep rules
polkit /etc/polkit-1/rules.d/
polkit /usr/share/polkit-1/rules.d/
polkit /usr/share/polkit-1/rules.d/50-default.rules

Делай два:

$ cat /usr/share/polkit-1/rules.d/50-default.rules
/* -*- mode: js; js-indent-level: 4; indent-tabs-mode: nil -*- */

// DO NOT EDIT THIS FILE, it will be overwritten on update
//
// Default rules for polkit
//
// See the polkit(8) man page for more information
// about configuring polkit.

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});

Делай три:

$man polkit

The addAdminRule() method is used for adding a function that
may be called whenever administrator authentication is
required. The function is used to specify what identities
may be used for administrator authentication for the
authorization check identified by action and subject.
Functions added are called in the order they have been added
until one of the functions returns a value. Each function
should return an array of strings where each string is of
the form "unix-group:<group>", "unix-netgroup:<netgroup>" or
"unix-user:<user>". If the function returns null, undefined
or does not return a value at all, the next function is
tried.

P.S. Если не хочется самому настраивать дистр - лучше не использовать Arch =)

https://github.com/polkit-org/polkit/blob/main/NEWS.md#changes-since-policykit-0102

Changes since PolicyKit 0.102:
Add org.freedesktop.policykit.owner annotation Default to AdminIdentities=unix-group:wheel for local authority

Спасибо, уже нашёл на GitHub.

На wiki отдельный абзац под это выделен с примером как перенастроить.

https://wiki.archlinux.org/title/Polkit (п. 2.3)

заходит в оболочку под root используя пароль пользователя. Это нормально?

Да, нормально. Ибо по соображениям безопасности пользователь root обычно запрещён и скрыт. Ну а если вы любитель работать под рутом - ССЗБ.

Больше 10 лет работаю под рутом и не использую sudo. Брат жив.

Я привык все необходимые операции выполнять под учёткой суперпользователя, нежели использовать sudo каждый раз, так как отдаю себе отчёт.

По соображениям безопасности, пользователь не должен иметь таким прав, если он не админ локалхоста.

Спасибо, что сообщили. Продолжайте.

Проверил на Ubuntu 24.04 и 18.04, просит пароль от root.

Как раз-то в Ubuntu и нет юзера root. Если сами его специально не включали.

По соображениям безопасности не втыкайте пользователя в группы, если не имеете понятия, для чего они существуют.

Ты несёшь бред, с каких пор там нет root? У него просто пароль не задан и нужно выполнять sudo su.

Я и не втыкал, это Arch сам :) До обновления на KDE 6 у меня всегда пароль от root спрашивало.

Так sudo su тоже апает до рута, используя пароль пользователя, в чём новость?

Но как отключить sudo я знаю, а как PolKit не знал.

С ходу не смог найти инструкции как отключить подобные действия. Вопрос, как?

Arch сам ничего не делает. А вот манжара или всякие скрипты arch-install вполне могут и сами.

$: sudo useradd test               

$: id test                             
uid=1001(test) gid=1001(test) группы=1001(test)

по-умолчанию - рута нет. Он заблокирован. Задавая руту пароль, вы разблокируете его.

по-умолчанию - рута нет

Да ладно? В любой юникс-подобной системе есть root. Даже в макоси. Просто пока для него не задан пароль, под ним нельзя залогиниться, вот и всё. А процессы, запущенные от рута, есть и их легко увидеть. Как и файлы, принадлежащие руту.

Ну я и говорю именно про учётку, а не про то что вообще рут в системе отсутствует.

$: sudo passwd -S root
root L 2010-09-19 -1 -1 -1 -1

$: sudo passwd root
Новый пароль:
Повторите ввод нового пароля:
passwd: пароль успешно обновлён

$: sudo passwd -S root
root P 2025-03-28 -1 -1 -1 -1