Bug 35763

Summary: systemd-run -t /bin/sh успешно срабатывает для пользователя из группы wheel
Product: Sisyphus Reporter: Sergey Y. Afonin <asy>
Component: polkitAssignee: Yuri N. Sedunov <aris>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P3 CC: antohami, aris, berkut_174, cas, evg, iv, ldv, mike, nbr, rider, shaba, shrek, sin, zerg
Version: unstable   
Hardware: all   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=29197
https://bugzilla.altlinux.org/show_bug.cgi?id=48431
Bug Depends on:    
Bug Blocks: 46625    

Description Sergey Y. Afonin 2018-12-13 14:45:22 MSK
systemd-run -t /bin/sh успешно срабатывает для пользователя из группы wheel

С форума: https://forum.altlinux.org/index.php?topic=41933.0

$ systemd-run -t /bin/sh
Running as unit: run-u80.service
Press ^] three times within 1s to disconnect TTY.
sh-3.2# whoami
root

Это идёт вразрез вот с этим обсуждением (ссылка на середину сразу):
https://lists.altlinux.org/pipermail/devel/2018-December/206081.html
Comment 1 Alexey Shabalin 2018-12-13 15:26:55 MSK
Перевешиваю на polkit. Это он разрешает. systemd-run только спрашивает у него.
Comment 2 Dmitry V. Levin 2018-12-13 16:24:23 MSK
(In reply to comment #1)
> Перевешиваю на polkit. Это он разрешает. systemd-run только спрашивает у него.

А файл с описанием этой политики кто поставляет, systemd или polkit?
Comment 3 Valery Inozemtsev 2018-12-13 16:44:26 MSK
описание политики находится в
/usr/share/polkit-1/actions/org.freedesktop.systemd1.policy

$ rpmquery -f /usr/share/polkit-1/actions/org.freedesktop.systemd1.policy systemd-239-alt3.x86_64
Comment 4 Alexey Shabalin 2018-12-13 16:58:42 MSK
(В ответ на комментарий №3)
> описание политики находится в
> /usr/share/polkit-1/actions/org.freedesktop.systemd1.policy
> 
> $ rpmquery -f /usr/share/polkit-1/actions/org.freedesktop.systemd1.policy
> systemd-239-alt3.x86_64

нет, эта policy не имеет никакого отношения к systemd-run. Точнее там не упоминается ничего о systemd-run.

systemd-run подпадает под правило по-умолчанию /etc/polkit-1/rules.d/50-default.rules.

Если мы не будем ничего менять в правиле по-умолчанию, тогда да, надо перевесить баг обратно на systemd и придумывать политику специально для systemd-run.
Comment 5 Dmitry V. Levin 2018-12-13 17:00:53 MSK
Давайте лучше исправим сразу для всех пользователей polkit, а не только для systemd-run.
Comment 6 Valery Inozemtsev 2018-12-13 17:04:22 MSK
$ groups user uucp proc cdrom floppy cdwriter audio radio users vmusers video camera vboxusers xgrp scanner
$ systemd-run -t /bin/sh
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ====
Authentication is required to manage system services or other units.
Authenticating as: System Administrator (root)
Password: 
==== AUTHENTICATION COMPLETE ==== Running as unit: run-u299.service
Press ^] three times within 1s to disconnect TTY.
sh-3.2# whoami
root

$ groups user wheel uucp proc cdrom floppy cdwriter audio radio users vmusers video camera vboxusers xgrp scanner
$ systemd-run -t /bin/sh
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ====
Authentication is required to manage system services or other units.
Authenticating as: user Password: 
==== AUTHENTICATION COMPLETE ==== Running as unit: run-u307.service
Press ^] three times within 1s to disconnect TTY.
sh-3.2# whoami
root
Comment 7 Valery Inozemtsev 2018-12-13 17:07:40 MSK
вот здесь все прекрасно видно. если пользователь в группе wheel                         авторизуем с паролем пользователя. если пользователь не в группе wheel авторизуем с паролем рута
Comment 8 Dmitry V. Levin 2018-12-13 17:08:43 MSK
(In reply to comment #7)
> вот здесь все прекрасно видно. если пользователь в группе wheel                
>         авторизуем с паролем пользователя. если пользователь не в группе wheel
> авторизуем с паролем рута

Да, об этом и баг, что это неправильно.
Comment 9 Valery Inozemtsev 2018-12-13 17:13:17 MSK
$ grep -A8 \"org.freedesktop.systemd1.manage-units\" /usr/share/polkit-1/actions/org.freedesktop.systemd1.policy
        <action id="org.freedesktop.systemd1.manage-units">
                <description gettext-domain="systemd">Manage system services or other units</description>
                <message gettext-domain="systemd">Authentication is required to manage system services or other units.</message>
                <defaults>
                        <allow_any>auth_admin</allow_any>
                        <allow_inactive>auth_admin</allow_inactive>
                        <allow_active>auth_admin_keep</allow_active>
                </defaults>
        </action>
Comment 10 Valery Inozemtsev 2018-12-13 17:22:49 MSK
(В ответ на комментарий №8)
> Да, об этом и баг, что это неправильно.

что конкретно? авторизовать с паролем пользователя?
Comment 11 Dmitry V. Levin 2018-12-13 17:27:33 MSK
(In reply to comment #10)
> (В ответ на комментарий №8)
> > Да, об этом и баг, что это неправильно.
> 
> что конкретно? авторизовать с паролем пользователя?

Да, аутентифицировать пользователя (по паролю) для авторизации рута.
Comment 12 Valery Inozemtsev 2018-12-13 17:36:56 MSK
ну тогда вам сюда
/etc/polkit-1/rules.d/50-default.rules
и таки да polkit считает пользователя в группе wheel рутом
Comment 13 Valery Inozemtsev 2018-12-13 17:47:59 MSK
вот нормальное описание
https://wiki.archlinux.org/index.php/Polkit#Administrator_identities
Comment 14 Dmitry V. Levin 2018-12-13 18:08:52 MSK
(In reply to comment #13)
> вот нормальное описание
> https://wiki.archlinux.org/index.php/Polkit#Administrator_identities

Не всё, что годится для Arch, годится для ALT.
Я могу себе представить какой-нибудь упрощённый дистрибутив вроде Simply,
где такая политика авторизации рута документирована и подходит, но в общем случае это уязвимость.
Comment 15 Valery Inozemtsev 2018-12-13 18:14:02 MSK
в таком случае просто не паковать /etc/polkit-1/rules.d/50-default.rules или паковать в отдельный пакет
Comment 16 Sergey Y. Afonin 2018-12-16 16:01:03 MSK
(In reply to comment #7)

> вот здесь все прекрасно видно. если пользователь в группе wheel                
> авторизуем с паролем пользователя. если пользователь не в группе wheel
> авторизуем с паролем рута

Запрос на аналогичное поведение sudo (bug 18344) было решено не реализовывать. И тут оказывается, то в дистрибутивах с systemd есть второй путь для получения административных привилегий любым членом группы wheel.
Comment 17 nbr 2023-09-05 13:07:54 MSK
To aris@ shrek@ shaba@
Пожалуйста, уделите внимание этому багу. ACL на пакет только на вас.
Может быть просто удалить 50-default.rules?
Comment 18 Антон Мидюков 2023-12-02 08:05:40 MSK
(Ответ для nbr на комментарий #17)
> To aris@ shrek@ shaba@
> Пожалуйста, уделите внимание этому багу. ACL на пакет только на вас.
> Может быть просто удалить 50-default.rules?
Comment 19 Sergey V Turchin 2023-12-04 12:17:19 MSK
(Ответ для Valery Inozemtsev на комментарий #15)
> в таком случае просто не паковать /etc/polkit-1/rules.d/50-default.rules или
> паковать в отдельный пакет
Считаю некорректным предлагать мантейнеру пакета просто откреститься, а пользователям и релиз-менеджерам расхлёбывать.
Comment 20 Repository Robot 2023-12-05 10:46:54 MSK
polkit-123-alt1 -> sisyphus:

 Mon Dec 04 2023 Valery Inozemtsev <shrek@altlinux.ru> 123-alt1
 - 123
 - is not packed 50-default.rules (closes: #35763)
Comment 21 Sergey V Turchin 2023-12-05 10:54:08 MSK
>  Mon Dec 04 2023 Valery Inozemtsev <shrek@altlinux.ru> 123-alt1
>  - is not packed 50-default.rules (closes: #35763)
💩
Comment 22 Sergey V Turchin 2023-12-05 11:08:13 MSK
А в p10 исправлять будут?
Comment 23 Valery Inozemtsev 2023-12-05 13:03:52 MSK
(Ответ для Sergey V Turchin на комментарий #22)
> А в p10 исправлять будут?

#335797
Comment 24 Антон Мидюков 2023-12-05 21:00:53 MSK
(Ответ для Valery Inozemtsev на комментарий #23)
> (Ответ для Sergey V Turchin на комментарий #22)
> > А в p10 исправлять будут?
> 
> #335797

Кто-нибудь одобрит?
Comment 25 Michael Shigorin 2023-12-07 12:28:22 MSK
(Ответ для Sergey V Turchin на комментарий #19)
> (Ответ для Valery Inozemtsev на комментарий #15)
> > в таком случае просто не паковать /etc/polkit-1/rules.d/50-default.rules или
> > паковать в отдельный пакет
> Считаю некорректным предлагать мантейнеру пакета просто откреститься, а
> пользователям и релиз-менеджерам расхлёбывать.
Ну конкретно ради Simply, где и так sudo настраивается пользователю,
можно вынести в какой polkit-wheel-is-root.

Но вообще этих веб-макак пороть в детстве надо было, конечно,
а не набирать по объявлению системный софт писать :-/
Вчера собирал polkit-duktape 0.120 на сей счёт.
Comment 26 Michael Shigorin 2023-12-07 12:29:34 MSK
(Ответ для Антон Мидюков на комментарий #24)
> > > А в p10 исправлять будут?
> > #335797
> Кто-нибудь одобрит?
Да.
Comment 27 Evgeny Sinelnikov 2023-12-13 11:15:02 MSK
(Ответ для Michael Shigorin на комментарий #25)
> (Ответ для Sergey V Turchin на комментарий #19)
> > (Ответ для Valery Inozemtsev на комментарий #15)
> > > в таком случае просто не паковать /etc/polkit-1/rules.d/50-default.rules или
> > > паковать в отдельный пакет
> > Считаю некорректным предлагать мантейнеру пакета просто откреститься, а
> > пользователям и релиз-менеджерам расхлёбывать.
> Ну конкретно ради Simply, где и так sudo настраивается пользователю,
> можно вынести в какой polkit-wheel-is-root.
> 
> Но вообще этих веб-макак пороть в детстве надо было, конечно,
> а не набирать по объявлению системный софт писать :-/
> Вчера собирал polkit-duktape 0.120 на сей счёт.

В каком смысле "ради Simply"?

Давайте мы дружно пересядем с локальных пользователей на доменных и посмотрим на проблему их глазами.

Предлагаю подумать откатить всё обратно. Либо предложить что-то разумное тысячам клиентов в домене, у которым после такого чудесного обновления в стабильном бранче отвалится доступ. Везде.
Comment 28 Evgeny Sinelnikov 2023-12-13 11:17:04 MSK
Никто не подумал, что нужно не группу выпиливать, а правило polkit'а, по умолчанию поменять?
Comment 29 Антон Мидюков 2023-12-13 11:17:45 MSK
(Ответ для Evgeny Sinelnikov на комментарий #27)
> (Ответ для Michael Shigorin на комментарий #25)
> > (Ответ для Sergey V Turchin на комментарий #19)
> > > (Ответ для Valery Inozemtsev на комментарий #15)
> > > > в таком случае просто не паковать /etc/polkit-1/rules.d/50-default.rules или
> > > > паковать в отдельный пакет
> > > Считаю некорректным предлагать мантейнеру пакета просто откреститься, а
> > > пользователям и релиз-менеджерам расхлёбывать.
> > Ну конкретно ради Simply, где и так sudo настраивается пользователю,
> > можно вынести в какой polkit-wheel-is-root.
> > 
> > Но вообще этих веб-макак пороть в детстве надо было, конечно,
> > а не набирать по объявлению системный софт писать :-/
> > Вчера собирал polkit-duktape 0.120 на сей счёт.
> 
> В каком смысле "ради Simply"?
> 
> Давайте мы дружно пересядем с локальных пользователей на доменных и
> посмотрим на проблему их глазами.
> 
> Предлагаю подумать откатить всё обратно. Либо предложить что-то разумное
> тысячам клиентов в домене, у которым после такого чудесного обновления в
> стабильном бранче отвалится доступ. Везде.

Можно отдельный пакет сделать c правилом. И именно в p10 у polkit поставить зависимость на него.
Comment 30 Антон Мидюков 2023-12-13 11:19:12 MSK
(Ответ для Evgeny Sinelnikov на комментарий #28)
> Никто не подумал, что нужно не группу выпиливать, а правило polkit'а, по
> умолчанию поменять?

О выпиливании какой группы речь? Как поменять?
Comment 31 Evgeny Sinelnikov 2023-12-13 11:21:10 MSK
(Ответ для Антон Мидюков на комментарий #29)
[...]
> 
> Можно отдельный пакет сделать c правилом. И именно в p10 у polkit поставить
> зависимость на него.

Звучит очень странно. Нет, так не пойдёт.

Кто-нибудь может сказать какой action-id использует команда из-за которой весь сыр бор?:
$ systemd-run -t /bin/sh
Comment 32 Sergey V Turchin 2023-12-13 11:21:26 MSK
(Ответ для Evgeny Sinelnikov на комментарий #28)
> нужно не группу выпиливать, а правило polkit'а, по умолчанию поменять
Так и сделали, вроде.
Comment 33 Антон Мидюков 2023-12-13 11:24:08 MSK
(Ответ для Evgeny Sinelnikov на комментарий #31)
> (Ответ для Антон Мидюков на комментарий #29)
> [...]
> > 
> > Можно отдельный пакет сделать c правилом. И именно в p10 у polkit поставить
> > зависимость на него.
> 
> Звучит очень странно. Нет, так не пойдёт.
> 

Почему? В p10 поведение не меняется. В p11 правило может быть включено в состав коробки дистрибутива. Никто ничего не заметит.
Comment 34 Evgeny Sinelnikov 2023-12-13 11:45:34 MSK
(Ответ для Антон Мидюков на комментарий #33)
> (Ответ для Evgeny Sinelnikov на комментарий #31)
> > (Ответ для Антон Мидюков на комментарий #29)
> > [...]
> > > 
> > > Можно отдельный пакет сделать c правилом. И именно в p10 у polkit поставить
> > > зависимость на него.
> > 
> > Звучит очень странно. Нет, так не пойдёт.
> > 
> 
> Почему? В p10 поведение не меняется. В p11 правило может быть включено в
> состав коробки дистрибутива. Никто ничего не заметит.

В каком смысле не поменяется. То есть правило, что wheel - это группа с админскими привилегиями убрали. А через эту группу доменные пользователи только и могут получать сейчас привилегии.

А доменные пользователи как будут их теперь получать? По паролю рута?



(Ответ для Sergey V Turchin на комментарий #32)
> (Ответ для Evgeny Sinelnikov на комментарий #28)
> > нужно не группу выпиливать, а правило polkit'а, по умолчанию поменять
> Так и сделали, вроде.

Так, да не так...


Вот дефолтные правила для action-id:

$ cat /usr/share/polkit-1/actions/org.freedesktop.packagekit.policy |grep -i -e yes -e "action id"
  <action id="org.freedesktop.packagekit.cancel-foreign">
  <action id="org.freedesktop.packagekit.package-install">
  <action id="org.freedesktop.packagekit.package-install-untrusted">
  <action id="org.freedesktop.packagekit.package-reinstall">
  <action id="org.freedesktop.packagekit.package-downgrade">
  <action id="org.freedesktop.packagekit.system-trust-signing-key">
  <action id="org.freedesktop.packagekit.package-eula-accept">
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.package-remove">
  <action id="org.freedesktop.packagekit.system-update">
          - Changing this to anything other than 'yes' will break unattended
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.system-sources-configure">
  <action id="org.freedesktop.packagekit.system-sources-refresh">
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.system-network-proxy-configure">
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.device-rebind">
          - This should not be set to 'yes' as unprivileged users could then
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.upgrade-system">
  <action id="org.freedesktop.packagekit.repair-system">
  <action id="org.freedesktop.packagekit.trigger-offline-update">
      <allow_active>yes</allow_active>
  <action id="org.freedesktop.packagekit.trigger-offline-upgrade">
  <action id="org.freedesktop.packagekit.clear-offline-update">
      <allow_active>yes</allow_active>


Кто, вообще, решил, что удалённое правило является источником проблемы, обозначенной в заголовке этой задачи?

$ id
uid=758801104(sin) gid=758800513(domain users) группы=758800513(domain users),10(wheel),14(uucp),19(proc),22(cdrom),51(ftpadmin),71(floppy),80(cdwriter),81(audio),83(radio),100(users),101(localadmins),430(usershares),442(docker),448(vboxsf),451(hashman),461(vboxadd),463(fuse),467(video),477(vboxusers),480(camera),494(remote),498(xgrp),499(scanner),500(admin),501(sin_a),502(sin_b),758801110(software admins),758801125(server admins),758801126(docs admins),758801132(gpo admins),758801133(integration team),758801134(system team),758801136(public admins),758801178(workstation admins),758801183(security team)

$ sudo cat /etc/polkit-1/rules.d/50-default.rules
/* -*- mode: js; js-indent-level: 4; indent-tabs-mode: nil -*- */

// DO NOT EDIT THIS FILE, it will be overwritten on update
//
// Default rules for polkit
//
// See the polkit(8) man page for more information
// about configuring polkit.

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});


$ systemd-run -t /bin/sh
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ====
Authentication is required to manage system services or other units.
Authenticating as: Evgeny Sinelnikov (sin)
Comment 35 Антон Мидюков 2023-12-13 11:54:26 MSK
(Ответ для Evgeny Sinelnikov на комментарий #34)
> (Ответ для Антон Мидюков на комментарий #33)
> > (Ответ для Evgeny Sinelnikov на комментарий #31)
> > > (Ответ для Антон Мидюков на комментарий #29)
> > > [...]
> > > > 
> > > > Можно отдельный пакет сделать c правилом. И именно в p10 у polkit поставить
> > > > зависимость на него.
> > > 
> > > Звучит очень странно. Нет, так не пойдёт.
> > > 
> > 
> > Почему? В p10 поведение не меняется. В p11 правило может быть включено в
> > состав коробки дистрибутива. Никто ничего не заметит.
> 
> В каком смысле не поменяется. То есть правило, что wheel - это группа с
> админскими привилегиями убрали. А через эту группу доменные пользователи
> только и могут получать сейчас привилегии.
> 

Я предложил в p10 собрать пакет с правилом, выставить зависимость у polkit в p10 на пакет с этим правилом. Итого в p10 это правило всегда будет, а в p11 его можно будет устанавливать или не устанавливать.
Comment 36 Evgeny Sinelnikov 2023-12-13 13:24:13 MSK
(Ответ для Антон Мидюков на комментарий #35)
[...]
> 
> Я предложил в p10 собрать пакет с правилом, выставить зависимость у polkit в
> p10 на пакет с этим правилом. Итого в p10 это правило всегда будет, а в p11
> его можно будет устанавливать или не устанавливать.

А что, в сущности, означает подход, при котором такое правило можно не устанавливать?

По-моему, очень просто получается. Получается, что без знания пароля рута, запрещаются любые административные действия.

Вариант без пароля я вообще не рассматриваю. Но в данном же случае речь совсем о другом. У меня 20 или 200 машин. С каким паролем рута их ставили уже никто не вспомнит. Логин осуществляется сетевым пользователем. Каким образом предлагается получать административные привилегии?

Водораздел проходит по вопросу получения рутового shell'а. Чем systemd-run -t /bin/sh доступный по группе wheel, отличается от sudo /bin/sh по группе wheel. Про это никто не договоривался. Про это, по умолчанию, нет.

Но дальше больше. Сейчас речь-то зашла о любых, вообще, административных действиях.

Почему? Потому что action_id соответствующий org.freedesktop.systemd1.manage-units трактуется слишком широко. Ну, можно было бы его отключить...
Comment 37 Anton Farygin 2023-12-14 08:43:03 MSK
По идее админские привилегии доменный пользователь должен получать через пароль доменного пользователя при условии вхождения в какую-то группу.

Группа wheel лично меня устраивает, но у ldv были какие-то возражения по этому поводу (а может быть и не по этому).

Самое главное - для перехода на более высокие привилегии обязательно должен запрашиваться пользовательский пароль (или использоваться другая схема авторизации, настроенная для доменного пользователя а pam)
Comment 38 Evgeny Sinelnikov 2023-12-14 08:51:59 MSK
Локальные привилегии назначаются на основании назначенных локальных групп. Переписывать все приложения для поиска новых групп-привилегий - штука непонятная.

Делается такое назначение через модуль ролей.

- без модуля libnss-role:

$ grep ^group /etc/nsswitch.conf
group:      files [SUCCESS=merge] sss systemd

$ id sin
uid=87001104(sin) gid=87000513(domain users) группы=87000513(domain users),972(nfsuser),953(hashman),1001(sin_a),1002(sin_b),87000512(domain admins),87001115(dist admins),87000572(denied rodc password replication group)

- с модулем libnss-role:

$ grep ^group /etc/nsswitch.conf
group:      files [SUCCESS=merge] sss systemd role

$ id sin
uid=87001104(sin) gid=87000513(domain users) группы=87000513(domain users),972(nfsuser),953(hashman),1001(sin_a),1002(sin_b),87000512(domain admins),87001115(dist admins),87000572(denied rodc password replication group),100(users),36(vmusers),80(cdwriter),22(cdrom),81(audio),981(video),19(proc),83(radio),963(camera),71(floppy),998(xgrp),999(scanner),14(uucp),948(vboxusers),970(fuse),101(localadmins),10(wheel)

Правила назначения групп:

$ rolelst -V
# Settings read from /etc/role:
users:vmusers
domain users:users
domain admins:localadmins
# Resulting settings merged with /etc/role.d entries
users:vmusers,cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse
domain users:users
domain admins:localadmins
localadmins:wheel,vboxusers
powerusers:remote,vboxusers
Comment 39 Evgeny Sinelnikov 2023-12-14 09:02:34 MSK
(Ответ для Anton Farygin на комментарий #37)
[...]
> Самое главное - для перехода на более высокие привилегии обязательно должен
> запрашиваться пользовательский пароль (или использоваться другая схема
> авторизации, настроенная для доменного пользователя а pam)

Ну, то есть согласен с rider@. И даже более того. Других особых вариантов повышения привилегий для доменных пользователей, кроме как по группе, особо не вижу.
Comment 40 Антон Мидюков 2023-12-25 13:58:31 MSK
(Ответ для Evgeny Sinelnikov на комментарий #39)
> (Ответ для Anton Farygin на комментарий #37)
> [...]
> > Самое главное - для перехода на более высокие привилегии обязательно должен
> > запрашиваться пользовательский пароль (или использоваться другая схема
> > авторизации, настроенная для доменного пользователя а pam)
> 
> Ну, то есть согласен с rider@. И даже более того. Других особых вариантов
> повышения привилегий для доменных пользователей, кроме как по группе, особо
> не вижу.

Вторая неделя пошла, как дефолтное правило удалили в p10.
Непонятно, почему не возвращаем назад, если это проблема для доменных пользователей. Или не проблема?
Comment 41 Michael Shigorin 2024-02-05 12:52:03 MSK
(Ответ для Антон Мидюков на комментарий #40)
> > Других особых вариантов повышения привилегий для доменных пользователей,
> > кроме как по группе, особо не вижу.
> Вторая неделя пошла, как дефолтное правило удалили в p10.
> Непонятно, почему не возвращаем назад, если это проблема для доменных
> пользователей. Или не проблема?
Напрашивается отдельный пакет с внятным именем.
Comment 42 Антон Мидюков 2024-03-12 21:32:19 MSK
(Ответ для Michael Shigorin на комментарий #41)
> (Ответ для Антон Мидюков на комментарий #40)
> > > Других особых вариантов повышения привилегий для доменных пользователей,
> > > кроме как по группе, особо не вижу.
> > Вторая неделя пошла, как дефолтное правило удалили в p10.
> > Непонятно, почему не возвращаем назад, если это проблема для доменных
> > пользователей. Или не проблема?
> Напрашивается отдельный пакет с внятным именем.

Не знаю, как насчёт внятности, но такой пакет теперь есть. Это polkit-default-rules.
Багу закрываю.