policykit

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: policykit

Messaggio da NetNightmare »

(dall'aggiornamento del sistema al collegarsi alla rete wifi di casa) comporta la reale necessità di sapere come funziona ad es. lo stack TCP/IP o ifconfig+iwconfig+wpa_supplicant+whatever, secondo me la percentuale di utenti che potrebbero "incasinare" le cose avendo privilegi che permettano loro di compiere operazioni potenzialmente pericolose (e mi sembra sia questa una delle preoccupazioni) penso sia molto minore del 99%...
scusa, ma mi permetto di dissentire.... non porto numeri precisi ma sia qui che su linuxquestions e' "pieno" e dico "pieno" di gente che non riesce a fare una cosa "banale" ( come da tua stessa definizione )come configurare la rete wireless .... beh se sapessero come funziona wpa_supplicant o gli script rc.inet1 allora credo che sarebbero realmente banali e non avrebbero bisogno di programmi tipo wicd ... ... ma comunque il discorso di masalpianta NON era sugli "utenti" ( intesi nel senso stretto del termine ).

cyme
Linux 0.x
Linux 0.x
Messaggi: 70
Iscritto il: mar 8 nov 2005, 22:33
Slackware: 64current
Kernel: 2.6.32.7
Desktop: Kde

Re: policykit

Messaggio da cyme »

Grazie dell'esauriente spiegazione di un argomento non "immediato" per i non addetti ai lavori.
Ottimo lavoro :thumbright:

Bart
Staff
Staff
Messaggi: 4249
Iscritto il: lun 9 ago 2004, 0:00
Località: Rimini

Re: policykit

Messaggio da Bart »

Grazie per i chiarimenti e ben tornato, era un pezzo che non ti si leggeva.
Da quanto ho letto mi viene da dare pienamente ragione al team di Slackware che, da quanto si legge, non vede proprio di buon occhio policykit. Mi chiedo se, oltre ai vari problemi di sicurezza che si potrebbero scatenare da un suo uso inconsapevole, questo punto di vista sia legato anche all'orientamento di Slackware che, IMHO non è proprio orientata ad ambienti server di un certo calibro.

Avatar utente
Kristos
Packager
Packager
Messaggi: 630
Iscritto il: sab 19 dic 2009, 11:40
Slackware: 13.37
Kernel: 2.6.37.6-smp
Desktop: KDE
Distribuzione: PCLinuxOS

Re: policykit

Messaggio da Kristos »

Direi che con una spiegazione così approfondita e tecnica non ci si possa aggiungere altro. :thumbright:

sir_alex
Linux 3.x
Linux 3.x
Messaggi: 735
Iscritto il: lun 21 mar 2005, 0:00
Kernel: 2.6.35-22
Desktop: KDE4
Distribuzione: Ubuntu
Località: Milano - Corbola (RO)
Contatta:

Re: policykit

Messaggio da sir_alex »

NetNightmare ha scritto:ma comunque il discorso di masalpianta NON era sugli "utenti" ( intesi nel senso stretto del termine ).
E allora non ho capito di cosa stiamo parlando... :)
Cioè, stiamo parlando della possibilità che Linux diventi un bersaglio di virus e worm? Ma a questo una pezza potrebbe metterla un sistema configurato come si deve, ma di questo chiedo lumi a chi ha guardato bene PolicyKit...

Mario Vanoni
Iper Master
Iper Master
Messaggi: 3174
Iscritto il: lun 3 set 2007, 21:20
Nome Cognome: Mario Vanoni
Slackware: 12.2
Kernel: 3.0.4 statico
Desktop: fluxbox/seamonkey
Località: Cuasso al Monte (VA)

Re: policykit

Messaggio da Mario Vanoni »

masalapianta ha scritto:
Mario Vanoni ha scritto:Anche i vari *BSD cominciano, pure opensolaris ...
La semplicita` di UNIX scompare,
ultima ratio sara` un LFS creato a mano, pezzo per pezzo!
attenzione, policykit non sotituisce alcunche', anche su distro che ne fanno uso nessuno vieta di gestire il sistema con i vecchi metodi; certo che, come ho detto nel primo post, se si utilizzano DE che hanno una forte integrazione con il sistema e con se stessi non ha molto senso non utilizzare policykit (che segue pedissequamente la filosofia del DE che si e' scelto di utilizzare)
Quindi certi DE sono diventati/diventano SO su SO, vero o falso?
Utenti che usano solo DE, diventeranno (forse) utenti UNIX/Linux,
o rimaranno eternamente alle regole inculcate da Redmond?

Avatar utente
phobos3576
Staff
Staff
Messaggi: 2980
Iscritto il: dom 17 apr 2005, 0:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: policykit

Messaggio da phobos3576 »

Leggendo il manuale di riferimento http://hal.freedesktop.org/docs/PolicyKit/index.html sembrerebbe di capire che lo scopo di PolicyKit sia proprio quello di eliminare le vulnerabilità tipiche dei vari metodi usati dall'utente normale per acquisire i privilegi di root; in pratica, si sostiene che i vari su, sudo, kdesu, gsu & C. sarebbero dei metodi suicidi.
The way most people use pam-console and sudo is fundamentally broken. Full-fledged GTK+ or Qt applications run as the super user which means that millions of line of code (including code such as image loaders that historically have lots of security problems) runs privileged. This is in direct violation of the well-known "least privilege" principle. In addition, often applications look out of place because settings in such programs now read per-user settings from root's home directory.
Se fosse vero, Pat si sarebbe impuntato su una posizione sbagliata!

Chi ha ragione?

Avatar utente
DarthSteve
Linux 1.x
Linux 1.x
Messaggi: 127
Iscritto il: mer 1 apr 2009, 10:00
Nome Cognome: Stefano
Slackware: --Current--
Kernel: 5.15..x
Desktop: KDE
Località: Lucca

Re: policykit

Messaggio da DarthSteve »

Per me... ci puo' essere una alternativa:
fare scegliere al "admin" se scegliere di installare/attivare il nuovo sistema (PolicyKit)
or usare il solito -classico- sistema.
Si.. lo so... si devono compilare le -applicazioni- nei due modi...
e con tutto quello che ne consegue!
--- The Jedi Code ---
There is no emotion; there is peace.
There is no ignorance; there is knowledge.
There is no passion; there is serenity.
There is no death; there is the Force

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: policykit

Messaggio da NetNightmare »

phobos3576 ha scritto:Leggendo il manuale di riferimento http://hal.freedesktop.org/docs/PolicyKit/index.html sembrerebbe di capire che lo scopo di PolicyKit sia proprio quello di eliminare le vulnerabilità tipiche dei vari metodi usati dall'utente normale per acquisire i privilegi di root; in pratica, si sostiene che i vari su, sudo, kdesu, gsu & C. sarebbero dei metodi suicidi.
The way most people use pam-console and sudo is fundamentally broken. Full-fledged GTK+ or Qt applications run as the super user which means that millions of line of code (including code such as image loaders that historically have lots of security problems) runs privileged. This is in direct violation of the well-known "least privilege" principle. In addition, often applications look out of place because settings in such programs now read per-user settings from root's home directory.
Se fosse vero, Pat si sarebbe impuntato su una posizione sbagliata!

Chi ha ragione?
Detto sinceramente qui non si tratta di chi ha ragione , a parte il fatto che su slackware pam non esiste, e sui miei sistemi sudo non e' installato ( ma questa e' una mia fissazione ), quel pezzo di articolo secondo me fa riverimento a distro che hanno raggiunto un cosi alto livello di astrazione del layer di cui si parlava prima, che ormai l'utente normale lancia applicativi con diritti che non dovrebbe avere senza neanche accorgersene, personalmente ritengo che se un applicativo rivolto all'utenza ( quindi non applicativi tipo wireshark per citarne uno ) ha necessita' di privilegi di root o e' scritto male o un utente non dovrebbe comunque usarlo dato che prevederebbe un livello di conoscenza richiesto a chi ha priviliegi di root che ovviamente un utente non ha\non e' richiesto abbia.

Per quanto riguarda l'introduzione di uno strumento come policykit, come accennato da masalapianta Se usato a dovere ( con cognizione di causa) puo risultare utile in ambito enterprise specialmente, ma trovo assurdo che un DE costringa ( perche' all'atto pratico e' questo) ad installare nel sistema strumenti come PAM o Policykit ..... e' vero che hai cambiamenti uno si deve adattare ma certi cambiamenti sono realmente da combattere ...quindi io sono tutto per Pat e aggiungo se questo dovesse significare abbandonare KDE ( come si e' fatto per gnome per altri motivi pero ) per me va bene . :evil: :evil:

Inoltre scusate ma dato che il manuale cita il "least privilege principle" che cavolo di fine ha fatto allora il "KiSS" ?

sir_alex
Linux 3.x
Linux 3.x
Messaggi: 735
Iscritto il: lun 21 mar 2005, 0:00
Kernel: 2.6.35-22
Desktop: KDE4
Distribuzione: Ubuntu
Località: Milano - Corbola (RO)
Contatta:

Re: policykit

Messaggio da sir_alex »

NetNightmare ha scritto: personalmente ritengo che se un applicativo rivolto all'utenza ( quindi non applicativi tipo wireshark per citarne uno ) ha necessita' di privilegi di root o e' scritto male o un utente non dovrebbe comunque usarlo dato che prevederebbe un livello di conoscenza richiesto a chi ha priviliegi di root che ovviamente un utente non ha\non e' richiesto abbia.
Eh sì, purtroppo in linux ti servono i privilegi di root anche solo per connetterti ad una rete... cosa che sinceramente trovo assurda, e qui concordo con gli applicativi come wicd che non hanno bisogno di chiederti la password per una cosa così stupida.
NetNightmare ha scritto: Inoltre scusate ma dato che il manuale cita il "least privilege principle" che cavolo di fine ha fatto allora il "KiSS" ?
Bè cosa c'entra, sono cose diverse, il "least privilege principle" è molto più importante, da un punto di vista della sicurezza e nel problema in questione, del "KISS"...

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: policykit

Messaggio da masalapianta »

Savius ha scritto:Fidati è questione di punti di vista... :p
ti ho dimostrato che non e' vero
Ti faccio io un esempio: mettiamo caso che in Slackware vi sia un'applicativo che è sempre funzionato alla perfezione in tutte le versioni della distro e che, all'improvviso, dia qualche problema. Ora, secondo te cos'è più dispendioso studiarmi tutta la Slackware in modo da saper poi riconoscere e correggere un eventuale errore di un determinato applicativo o preoccuparmi del singolo problema quando verrà riscontrato? Sicuramente nel secondo caso impiegherò molto più tempo a risolverlo rispetto a se avessi conosciuto tutta la Slackware ma di sicuro non dovrò studiarmi tutta la distro per risolvere un singolo problema ma mi basterà vedere solo le cose cui esso va ad intaccare...
il tuo ragionamento e' fallace perche' relegato ad un singolo errore di un singolo applicativo; chi usa un computer sa che di problemi ce ne sono spesso e di natura eterogenea; inoltre come ti ho gia spiegato, all'aumentare del tempo d'uso del pc aumentano i problemi che si devono affrontare, mentre il tempo speso a studiare cio' che si usa rimane una costante
Il tuo approccio è giustissimo e si dovrebbe applicare a tutte le cose ma, nella realtà, è quasi impossibile da applicare.
non e' vero
Se ad esempio funzionasse tutto come dici tu allora nel mondo si eviterebbero tanti incidenti e ci si riuscisse a porvi rimedio prontamente ed efficientemente ma, purtroppo, ci si accorge dei problemi solo quando questi capitano e quasi mai ci si prepara prima. Capisci cosa voglio dire?
che l'idiozia (in realta' e' piu' follia criminale che idiozia) che affligge il 99% (ad essere buoni) della popolazione mondiale fa si che questi idioti adottino l'approccio "non voglio responsabilita', non voglio sapere niente, delego tutto, comprese le mie liberta', a terzi"? si so bene cosa vuoi dire
Non dico che sbagli nel vederla in questo modo dico solo che non lo condivido.
infatti se tu che sbagli e te l'ho dimostrato
Io ho studiato Informatica alle superiori e sto per laurearmi nello stesso campo all'Università ma mi sento sempre un n00b e non perché effettivamente lo sia (magari lo sono però :p), ma perché non si finisce mai di imparare e se le cose restassero sempre complesse come sono (e mi riferisco alla complessità d'uso) non vi sarebbe mai un'evoluzione nel campo dell'IT.
aridaje, a questo punto i dubbi che avevo sulla mia capacita' di spiegare passano sulla tua capacita' di capire (perche' te l'ho spiegato N volte); per l'enne+1esima volta: la semplicita' d'uso (via layer d'astrazione che nascondano la complessita' sottostante) va benissimo, _*MA*_ se tu devi gestire la macchina, oltre che utilizzarla, devi avere ben chiaro cosa accade sotto; quando hai questa chiarezza, benvengano i tool che semplificano l'uso; e' chiaro adesso?
Ho capito il discorso tuo che si riferisce non all'utilizzatore di un determinato strumento ma al "gestore" di quest'ultimo ma, sebbene i termini possano essere diversi, io continuo a notare una certa similitudine perché se uno strumento funziona io mi limito ad usarlo e non a gestirlo, me lo gestisco se non fa quel che dico io e in quel caso ho bisogno di conoscerlo.
ma se tu applichi il ragionamento a posteriori (l'oggetto X non te lo studi da principio ma solo nel momento in cui da problemi) va anche bene; quello che non va bene e' l'approccio "l'oggetto X non me lo studio ne da principio ne quando da problemi, ma risolvo ogni volta chiedendo in giro o provando a casaccio (approccio windows)" perche' il tempo speso cresce a dismisura visto che la cosa si ripete ogni volta che si presenta un problema

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: policykit

Messaggio da masalapianta »

pino ha scritto:Finalmente ho,un po, capito cos'è sto policykit. Grazie a masalapianta
Comunque è anni che mi cambio le pastiglie dei freni da solo ma porto la macchina dal meccanico per cambiare la cinghia di distribuzione.
Ciao Pino
esattamente, e' una cosa che in altri campi (come ad esempio la manutenzione di un autoveicolo) risulta chiara a tutti; ma, chissa' perche', quando si parla di informatica, il medesimo concetto diventa oscuro come un buco nero.
Nessuno ha problemi a capire che se vuoi fare manutenzione alla tua auto DEVI avere ben chiaro da principio come funzionano le parti dove stai mettendo le mani, viceversa se non si vuole sapere nulla ci si deve limitare a portare l'auto da un meccanico; mentre in informatica questo concetto sparisce: diventa plausibile fare le cose a casaccio oppure chiedenedo in giro o facendo chissa' quale porcheria, senza la necessita' di capire quello che si cerca di aggiustare

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: policykit

Messaggio da masalapianta »

sir_alex ha scritto:Grazie per l'ottima spiegazione, ora le idee sono decisamente chiare.
Vorrei però fare una considerazione, sulla preoccupazione espressa in questo thread e che non mi sento di condividere appieno: per quanto io possa essere d'accordo con i layer di astrazione (anche se forse non completamente), qui si parla di utenti anche amministratori che, la stragrande maggioranza delle volte, avranno bisogno dei permessi di root per eseguire operazioni come l'installazione di software piuttosto che la configurazione della rete, quindi operazioni in linea di massima abbastanza banali.
il concetto di "banale" e' assolutamente soggettivo
E' chiaro che entrambi questi esempi possono portare ad incasinare il sistema,
non necessariamente il problema e' un uso scorretto di un tool che porti danni; spesso i problemi sono anche bug o errori di configurazione o tantissime altre cose che magari non portano danni ma non fanno funzionare un determinato oggetto come vorresti; come ho detto il danno in tal caso e' la perdita di tempo e fatica che cresce a dismisura ogni volta che si presenta un problema su un oggetto che non si conosce
tuttavia non vedo cosa l'utente dovrebbe conoscere per poter usare senza problema il layer di astrazione
ripeto: il problema non e' il mero uso ma la gestione; se gestisci un sistema non puoi fare affidamento esclusivamente su layer d'astrazione che ti nascondano la cmplessita' d'uso sottostante; perche' quando qualcosa non funziona e, l'aiuto dato dal layer viene meno, spenderai molto piu' tempo e fatica a risolvere la cosa di quanto ne avresti speso se avessi impiegato (una sola volta per tutte) un po del tuo tempo a studiare quello che devi gestire.
Ripeto non e' un obbligo e' un discorso di intelligenza, se non si e' idioti si capisce che nel fare una cosa e' meglio scegliere un approccio che faccia spendere meno tempo e fatica possibile; se poi non si e' idioti ma masochisti e' un altro conto...
: nessuna di queste operazioni (dall'aggiornamento del sistema al collegarsi alla rete wifi di casa) comporta la reale necessità di sapere come funziona ad es. lo stack TCP/IP o ifconfig+iwconfig+wpa_supplicant+whatever, secondo me la percentuale di utenti che potrebbero "incasinare" le cose avendo privilegi che permettano loro di compiere operazioni potenzialmente pericolose (e mi sembra sia questa una delle preoccupazioni) penso sia molto minore del 99%...
ripeto: il problema non e' tanto "incasinare", perche' poi, salvo danni gravi, un problema bene o male lo si risolve quasi sempre; il punto e': quanto tempo e fatica si spendono nel fare cio', con l'uno e con l'altro approccio?

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: policykit

Messaggio da masalapianta »

Bart ha scritto:Grazie per i chiarimenti e ben tornato, era un pezzo che non ti si leggeva.
Da quanto ho letto mi viene da dare pienamente ragione al team di Slackware che, da quanto si legge, non vede proprio di buon occhio policykit. Mi chiedo se, oltre ai vari problemi di sicurezza che si potrebbero scatenare da un suo uso inconsapevole, questo punto di vista sia legato anche all'orientamento di Slackware che, IMHO non è proprio orientata ad ambienti server di un certo calibro.
in realta' policykit ha ben poco a che vedere con l'ambiente enterprise (interpreto cosi' "ambienti server di un certo calibro"); e' piu' un sistema adatto (anche se e' ancora pessimo sul discorso di centralizzazione delle policy per N macchine) alla gestione delle policy utente su parchi macchine (piu' o meno grandi) di workstation; mentre per il singolo utente home risulta imho poco adatto (non tanto per discorsi tecnici ma piu' per la forma mentis e per l'approccio che ha l'utente medio alla gestione del sistema); imho la scelta di volkerding e' dettata piu' che altro dal non dover stravolgere alcuni aspetti e scelte fatte per slackware (una su tutte: pam), piu' che da un discorso filosofico su policykit stesso

Avatar utente
NetNightmare
Linux 1.x
Linux 1.x
Messaggi: 175
Iscritto il: lun 18 ago 2008, 11:00
Nome Cognome: Giuseppe De Nicolo'
Slackware: 13.37 x86_64
Kernel: 2.6.37.6-smp
Desktop: Fluxbox
Località: Rome

Re: policykit

Messaggio da NetNightmare »

sir_alex ha scritto: Eh sì, purtroppo in linux ti servono i privilegi di root anche solo per connetterti ad una rete... cosa che sinceramente trovo assurda, e qui concordo con gli applicativi come wicd che non hanno bisogno di chiederti la password per una cosa così stupida.
Mi permetto di corregerti .... ti servono i privilegi di root per configurare la rete non per usarla ....mi rendo conto che che la differenza e' molto sottile, e magare in ambiente home non si nota , ma facendo il lavoro che faccio non e' che puoi lasciare gli utenti liberi di configurarsi la rete a piacimento sulla propria workstation sia essa Windows Mac o Unix\Linux ..... ma ti rendi conto in un ufficio di 100 ( o piu ) postazioni se gli utenti se ne andassero in giro configurandosi la rete a piacimento ??? sono io che trovo assurda la tua affermazione .... e' l'amministratore di sistema che ti configura la rete tu non devi fare altro che al massimo collegare il plug del cavo ethernet ... non puoi guardare alla sicurezza di un sistema da un punto di vista di un utente domestico ..... poi se tu vuoi usare sudo o su o qualche altra diavoleria per configurarti la rete sul tuo pc di casa lo puoi fare ma richiedere che un sistema ti consenta di fare una cosa del genere di default o con privilegi di users .... [-X [-X [-X [-X [-X
sir_alex ha scritto: Bè cosa c'entra, sono cose diverse, il "least privilege principle" è molto più importante, da un punto di vista della sicurezza e nel problema in questione, del "KISS"...
che il principio del least privilege sia importante non si discute , ma io non vedo la necessita di adottare un layer cosi complesso per gestire un DE .... saro io "cecato" come dicono dalle mie parti o forse e' un mio limite, ecco perche il riferimento al KiSS, mi faceva sorridere che fossero tanto preoccupati della sicurezza da citare quel principio e poi abbiano creato un layer tanto complesso il cui rapporto vantaggi\benefici e' quantomeno dubbio.

Rispondi