(来自 LWN, skvidal, 发行注记) https://bugzilla.redhat.com/show_bug.cgi?id=534047 Fedora 12 的 package kit 的 polkit 策略设置允许任意用户安装已签名的软件包,如果仓库已启用的话。在 fedora-devel-list 有长达 200+ 的邮件,持续地讨论了这个问题。这样的设置使安全更新可以自动安装,不需要用户干预(输入 root 密码),也可以让用户随时安装缺少的软件(在命令行执行不存在的命令或使用 pk-application)。但是,许多系统管理员认为即使是已签名的软件包也无法信任,为管理带来了困难。在 Fedora 努力找寻目标用户的时刻,这个策略的设置是非常敏感的话题。
临时打开和关闭限制的命令分别是: pklalockdown –lockdown org.freedesktop.packagekit.package-install pklalockdown –remove-lockdown org.freedesktop.packagekit.package-install
但是,pk 升级到 0.95 后将不再提供这个命令。在新版本中,使用 pkaction 查询所有 pk 动作,使用 `pkaction –action-id 动作名 –verbose’ 查询 pk 动作的设置。如果要修改设置,需要在 /var/lib/polkit-1/ 目录的 localauthority 子目录创建配置文件(内容详见发行注记,需要设置 action ,策略和受影响的用户和组,可以使用通配符)。设置修改结果可以用 pkcheck 命令查询(完整命令行为 `pkcheck –action-id org.freedesktop.packagekit.package-install –process $process_id_of_the_process_making_the_request -u $the_username_you_are_testing’),或者检查 package kit 是否正常动作。完整文档请看 man pklocalauthority 以及 man polkit。
Fedora 12 发行注记已经为这件事做了紧急更新,添加了具体的处理步骤。http://docs.fedoraproject.org/release-notes/f12/en-US/html/sect-Release_Notes-Security.html
One Response
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.
Continuing the Discussion