Bug 48431

Summary: Позволяет установить любой пакет пользователю из группы wheel без пароля
Product: Sisyphus Reporter: Антон Мидюков <antohami>
Component: packagekitAssignee: Evgeny Sinelnikov <sin>
Status: REOPENED --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: aen, darktemplar, delphicoder, imz, iv, ldv, nbr, rider, shrek, sin, snowmix, zerg
Version: unstable   
Hardware: all   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=35763
Bug Depends on:    
Bug Blocks: 46625    

Description Антон Мидюков 2023-11-14 07:13:12 MSK
packagekit позволяет установить любой пакет пользователю из группы wheel без пароля:
pkcon install любой_пакет

Предлагаю вынести в отдельный пакет polkit правило /usr/share/polkit-1/rules.d/org.freedesktop.packagekit.rules, которое за это отвечает.
Пусть добавление этого правила в дистрибутив будет на совести релиз-менеджера этого дистрибутива или администратора, установившего этот пакет.
Comment 1 Anton Farygin 2023-11-14 08:50:07 MSK
пользователь в группе wheel имеет и так слишком много привилегий, не надо усложнять жизнь.
Comment 2 AEN 2023-11-14 09:02:02 MSK
(Ответ для Anton Farygin на комментарий #1)
> пользователь в группе wheel имеет и так слишком много привилегий, не надо
> усложнять жизнь.

antohami@ предлагает не исключать этот вариант, а оставить его на усмотрение релиз-менеджера.
И предлагает простое решение. WONTFIX не про это.
Comment 3 Sergey V Turchin 2023-11-14 09:09:57 MSK
Так и задумано. Устанавливать может, а удалять -- фигу.
Comment 4 Антон Мидюков 2023-11-14 09:26:59 MSK
(Ответ для Sergey V Turchin на комментарий #3)
> Так и задумано. Устанавливать может, а удалять -- фигу.

Ладно. Я у себя это недоразумение исправлю. Выкрутить правило обратно не проблема:
https://bugzilla.altlinux.org/show_bug.cgi?id=41895#c3
Comment 5 Dmitry V. Levin 2023-11-14 09:41:15 MSK
Просьба ещё раз прочитать и прислушаться к тому, что написал Антон.
Comment 6 Sergey V Turchin 2023-11-14 09:50:35 MSK
(Ответ для Антон Мидюков на комментарий #4)
> Ладно. Я у себя это недоразумение исправлю. Выкрутить правило обратно не
> проблема:
> https://bugzilla.altlinux.org/show_bug.cgi?id=41895#c3
Это совсем не понял.
У меня и такой packagekit и polkit-rule-admin-root. Выкручивание чего именно и что именно может исправить?
Comment 7 Sergey V Turchin 2023-11-14 09:54:42 MSK
(Ответ для Dmitry V. Levin на комментарий #5)
> Просьба ещё раз прочитать и прислушаться к тому, что написал Антон.
Где взять синтезатор голоса Антона. ;-)
Comment 8 Антон Мидюков 2023-11-14 09:55:46 MSK
(Ответ для Sergey V Turchin на комментарий #6)
> (Ответ для Антон Мидюков на комментарий #4)
> > Ладно. Я у себя это недоразумение исправлю. Выкрутить правило обратно не
> > проблема:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=41895#c3
> Это совсем не понял.
> У меня и такой packagekit и polkit-rule-admin-root. Выкручивание чего именно
> и что именно может исправить?

Сделаю аналогичный пакет polkit-rule-packagekit-disallow-install, где будет такое:
cat>%buildroot/%_datadir/polkit-1/rules.d/40-packagekit-disallow-install.rules<<EOF
polkit.addRule(function(action, subject) {
    if (action.id == "org.freedesktop.packagekit.package-install" &&
        subject.active == true && subject.local == true &&
        subject.isInGroup("wheel")) {
            return polkit.Result.AUTH_ADMIN;
    }
});
EOF

Будет пароль админа спрашивать.

Но бага изначально о том, что умолчание не должно быть разрешающим. Кто хочет разрешить, устанавливает пакет с разрешающим правилом. А вы вынуждаете делать наоборот. Писать запрещающие правила, так как дефолт разрешающий.
Comment 9 Sergey V Turchin 2023-11-14 10:02:28 MSK
В принципе, я не против отдельного пакета.
Только, это должно быть совместимо с p10, т.е. не отвалится никакая сборка и ни установка пакетов ни в одном из бранчей и ни в одной из программ, использующих packagekit.
Comment 10 Anton Farygin 2023-11-14 10:06:17 MSK
(Ответ для AEN на комментарий #2)
> (Ответ для Anton Farygin на комментарий #1)
> > пользователь в группе wheel имеет и так слишком много привилегий, не надо
> > усложнять жизнь.
> 
> antohami@ предлагает не исключать этот вариант, а оставить его на усмотрение
> релиз-менеджера.
> И предлагает простое решение. WONTFIX не про это.

Нет, сейчас умолчания правильные, не надо их оставлять на усмотрение релиз-менеджера.
Comment 11 Sergey V Turchin 2023-11-14 10:08:11 MSK
(Ответ для Антон Мидюков на комментарий #8)
> Но бага изначально о том, что умолчание не должно быть разрешающим. Кто
> хочет разрешить, устанавливает пакет с разрешающим правилом. А вы вынуждаете
> делать наоборот. Писать запрещающие правила, так как дефолт разрешающий.
С этим можно поспорить. У нас много чего разрешено по умолчанию так или иначе.

P.S.
Или, наоборот, пример "правильного поведения". Попробуйте на регулярке простого пользователя заставить включить возможность расшаривать пользовательские каталоги по samba, причём сделать это правильно. Он скорее повесится.
Comment 12 AEN 2023-11-14 10:11:44 MSK
(Ответ для Sergey V Turchin на комментарий #11)
> (Ответ для Антон Мидюков на комментарий #8)
> > Но бага изначально о том, что умолчание не должно быть разрешающим. Кто
> > хочет разрешить, устанавливает пакет с разрешающим правилом. А вы вынуждаете
> > делать наоборот. Писать запрещающие правила, так как дефолт разрешающий.
> С этим можно поспорить. У нас много чего разрешено по умолчанию так или
> иначе.
> 
> P.S.
> Или, наоборот, пример "правильного поведения". Попробуйте на регулярке
> простого пользователя заставить включить возможность расшаривать
> пользовательские каталоги по samba, причём сделать это правильно. Он скорее
> повесится.

Регулярки не для простого пользователя. Некорректный пример.
Comment 13 Anton Farygin 2023-11-14 10:12:38 MSK
Поясню для истории:
пользователь в группе wheel имеет повышенные привилегии в системы - в большинстве конфигураций он может делать многие гораздо более серьёзные вещи, чем ставить пакеты через packagekit.

Если релиз-менеджер не доверяет пользователю, то не надо его включать в группу wheel.
Comment 14 Sergey V Turchin 2023-11-14 10:14:24 MSK
(Ответ для AEN на комментарий #12)
> Регулярки не для простого пользователя. Некорректный пример.
А вы сами попробуйте. ;-)
Comment 15 Anton Farygin 2023-11-14 10:18:27 MSK
Возможно, было бы неплохо ввести дополнительную группу с правами обновления системы и установки пакетов. И так же по умолчанию включать в неё первого пользователя системы (и сделать интерфейс для настройки привилегий - каким пользователям какие действия можно осуществлять).

Но wheel тут точно не виноват, не надо его трогать (и ломать существующее поведение).
Comment 16 AEN 2023-11-14 10:18:53 MSK
(Ответ для Sergey V Turchin на комментарий #14)
> (Ответ для AEN на комментарий #12)
> > Регулярки не для простого пользователя. Некорректный пример.
> А вы сами попробуйте. ;-)

Спасибо, но я это делал.
Comment 17 Anton Farygin 2023-11-14 10:19:50 MSK
Алексей, ты точно не пробовал расшаривать папку через samba на регулярке.
Не флудите, пожалуйста.
Comment 18 Sergey V Turchin 2023-11-14 10:21:12 MSK
(Ответ для AEN на комментарий #16)
> Спасибо, но я это делал.
Нет. ;-) https://www.altlinux.org/Samba/Usershares
Comment 19 Sergey V Turchin 2023-11-14 10:23:12 MSK
(Ответ для Anton Farygin на комментарий #15)
> Возможно, было бы неплохо ввести дополнительную группу с правами обновления
> системы и установки пакетов.
IMHO уже лучше правила polkit изменить, только так, чтоб никому не испортить.
Comment 20 AEN 2023-11-14 10:28:49 MSK
(Ответ для Anton Farygin на комментарий #17)
> Алексей, ты точно не пробовал расшаривать папку через samba на регулярке.
> Не флудите, пожалуйста.

Никакого флуда. Года два назад делал, установив пакеты.
Comment 21 Sergey V Turchin 2023-11-14 10:41:57 MSK
(Ответ для AEN на комментарий #12)
> Регулярки не для простого пользователя. Некорректный пример.
Ок, вот корректный:
простой пользователь устанавливает К-10.0, обновляется, после чего пытается восстановить сломанное расшаривание по инструкции https://www.altlinux.org/Samba/Usershares
Comment 22 Dmitry V. Levin 2023-11-14 14:58:33 MSK
(In reply to Anton Farygin from comment #10)
> Нет, сейчас умолчания правильные, не надо их оставлять на усмотрение
> релиз-менеджера.

На самом деле нет.

(In reply to Sergey V Turchin from comment #11)
> (Ответ для Антон Мидюков на комментарий #8)
> > Но бага изначально о том, что умолчание не должно быть разрешающим. Кто
> > хочет разрешить, устанавливает пакет с разрешающим правилом. А вы вынуждаете
> > делать наоборот. Писать запрещающие правила, так как дефолт разрешающий.
> С этим можно поспорить. У нас много чего разрешено по умолчанию так или
> иначе.

Аргумент, будто мы не будем считать за баги некое поведение, потому что у нас якобы есть много аналогичных багов, которые ещё не исправлены, на мой взгляд, должен убеждать в обратном.
Comment 23 Sergey V Turchin 2023-11-14 15:30:05 MSK
(Ответ для Dmitry V. Levin на комментарий #22)
> якобы
Только эти "якобы" и "пока" там не мои.
Ну и мою позицию я определил в comment#9.
Comment 24 Anton Farygin 2023-11-14 15:55:31 MSK
Ну так это же просто - эти "баги" на самом деле очень хорошие фичи. И обсуждаемая здесь относится к их числу.

Ну или ошибка (FR) должна звучать каким-то другим образом.
Comment 25 AEN 2023-11-14 18:08:48 MSK
Я не увидел содержательных аргументов против предложения Антона, только стремлениее закрыть багу и обсуждение.
Comment 26 Антон Мидюков 2023-11-14 18:28:40 MSK
Прошу ответить на вопрос:
Зачем понадобилось разрешать установку пакетов без ввода пароля?
Comment 27 Anton Farygin 2023-11-14 18:31:04 MSK
Для того, что бы пользователь из группы wheel мог делать это без ввода пароля.
Comment 28 Антон Мидюков 2023-11-14 18:34:43 MSK
(Ответ для Anton Farygin на комментарий #27)
> Для того, что бы пользователь из группы wheel мог делать это без ввода
> пароля.

Под "это" скрывается только "установка произвольных пакетов" или что-то ещё?
Comment 29 Anton Farygin 2023-11-14 18:43:36 MSK
Стандартный сценарий - установка/доустановка пакетов и обновление системы.
Comment 30 AEN 2023-11-14 18:58:14 MSK
(Ответ для Anton Farygin на комментарий #29)
> Стандартный сценарий - установка/доустановка пакетов и обновление системы.

Что это за "стандарт"? Безопасностью нашей системы занимался ldv@. Есть требования ФСТЭК.
Давайте все же разберемся. Хотелось бы  услышать Диму и Дениса (подключаю его).
Comment 31 Dmitry V. Levin 2023-11-14 19:04:52 MSK
Группа wheel была задумана не как замена root, а как группа, членам которой может быть позволено авторизоваться для выполнения тех или иных привилегированных операций.

Тот факт, что кому-то показалось удобным не спрашивать у членов группы wheel authentication tokens и сразу давать привилегированный доступ, не значит, что это хорошее поведение по-умолчанию, и тем более не значит, что позволено пытаться запрещать поведение, которое другие считают более правильным и подходящим для решаемых задач.

Это валидный багрепорт, поэтому, пожалуйста, не надо его закрывать как NOTABUG.
Comment 32 Антон Мидюков 2023-11-14 19:10:02 MSK
(Ответ для Anton Farygin на комментарий #29)
> Стандартный сценарий - установка/доустановка пакетов и обновление системы.

Мои эксперименты показали, что обновиться можно без этого правила, так как обновляет сервис packagekit-offline-update.service после перезагрузки. Подготовить обновление может пользователь без ввода пароля через discover или gnome-software, нажав соответствующую кнопочку. Т.е. для обновления системы это правило не нужно.
Comment 33 Anton Farygin 2023-11-14 19:34:22 MSK
(Ответ для AEN на комментарий #30)
> (Ответ для Anton Farygin на комментарий #29)
> > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> 
> Что это за "стандарт"? Безопасностью нашей системы занимался ldv@. Есть
> требования ФСТЭК.
> Давайте все же разберемся. Хотелось бы  услышать Диму и Дениса (подключаю
> его).

ФСТЭК то тут при чём ? Там обновления идут вообще по другому пути и packagekit не используется.

Этот багрепорт не валиден, т.к. нет никакой ошибки, не нарушены никакие правила и требования - нигде нет формальных требований работать именно так а не иначе.

Можете рассказать истинную причину появления этой ошибки ?
Comment 34 Антон Мидюков 2023-11-14 19:39:52 MSK
(Ответ для Anton Farygin на комментарий #33)
> (Ответ для AEN на комментарий #30)
> > (Ответ для Anton Farygin на комментарий #29)
> > > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> > 
> > Что это за "стандарт"? Безопасностью нашей системы занимался ldv@. Есть
> > требования ФСТЭК.
> > Давайте все же разберемся. Хотелось бы  услышать Диму и Дениса (подключаю
> > его).
> 
> ФСТЭК то тут при чём ? Там обновления идут вообще по другому пути и
> packagekit не используется.
> 
> Этот багрепорт не валиден, т.к. нет никакой ошибки, не нарушены никакие
> правила и требования - нигде нет формальных требований работать именно так а
> не иначе.
> 
> Можете рассказать истинную причину появления этой ошибки ?

Я знакомился сегодня с packagekit. Был удивлён, отрапортовал.
Не надо искать то, чего нет.
Comment 35 Anton Farygin 2023-11-14 19:42:35 MSK
А это поведение почему-то никого не беспокоит ?
https://forum.altlinux.org/index.php?topic=41933.0

В общем если будет написана и согласована со всеми участниками единая политика безопасности, то и этот пакет будет ей следовать.
Comment 36 Dmitry V. Levin 2023-11-14 19:45:38 MSK
.
Comment 37 AEN 2023-11-14 19:47:21 MSK
(Ответ для Anton Farygin на комментарий #33)
> (Ответ для AEN на комментарий #30)
> > (Ответ для Anton Farygin на комментарий #29)
> > > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> > 
> > Что это за "стандарт"? Безопасностью нашей системы занимался ldv@. Есть
> > требования ФСТЭК.
> > Давайте все же разберемся. Хотелось бы  услышать Диму и Дениса (подключаю
> > его).
> 
> ФСТЭК то тут при чём ? Там обновления идут вообще по другому пути и
> packagekit не используется.
> 
> Этот багрепорт не валиден, т.к. нет никакой ошибки, не нарушены никакие
> правила и требования - нигде нет формальных требований работать именно так а
> не иначе.

Ты же сам писал про "стандартный сценарий". Где же стандарты? 
> 
> Можете рассказать истинную причину появления этой ошибки ?
Всё описано Антоном. Забота о безопасности "из коробки".
От тебя тоже нужны аргументы, не закрывать багу Дима уже просил. 
Давай говорить серьёзно и конструктивно, без конфликтов на ровном месте. Пожалуйста.
Comment 38 Dmitry V. Levin 2023-11-14 19:47:51 MSK
Пожалуйста, прекратите закрывать валидный багрепорт!
Comment 39 AEN 2023-11-14 19:49:21 MSK
(Ответ для Anton Farygin на комментарий #35)
> А это поведение почему-то никого не беспокоит ?
> https://forum.altlinux.org/index.php?topic=41933.0
> 
> В общем если будет написана и согласована со всеми участниками единая
> политика безопасности, то и этот пакет будет ей следовать.

Не надо ставить условия, пожалуйста.
Comment 40 Anton Farygin 2023-11-14 19:54:23 MSK
Дима, был бы валидный - я бы его не закрывал. 
Можем продолжать до бесконечности, но в любом случае прежде чем считать этот багрепорт валидным - надо описать условия использования, которые этот багрепорт нарушает.
Comment 41 Anton Farygin 2023-11-14 19:55:32 MSK
(Ответ для AEN на комментарий #39)
> (Ответ для Anton Farygin на комментарий #35)
> > А это поведение почему-то никого не беспокоит ?
> > https://forum.altlinux.org/index.php?topic=41933.0
> > 
> > В общем если будет написана и согласована со всеми участниками единая
> > политика безопасности, то и этот пакет будет ей следовать.
> 
> Не надо ставить условия, пожалуйста.

Это условия сосуществования разных взглядов на жизнь в одной экосистеме.
Comment 42 AEN 2023-11-14 20:00:59 MSK
(Ответ для Anton Farygin на комментарий #41)
> (Ответ для AEN на комментарий #39)
> > (Ответ для Anton Farygin на комментарий #35)
> > > А это поведение почему-то никого не беспокоит ?
> > > https://forum.altlinux.org/index.php?topic=41933.0
> > > 
> > > В общем если будет написана и согласована со всеми участниками единая
> > > политика безопасности, то и этот пакет будет ей следовать.
> > 
> > Не надо ставить условия, пожалуйста.
> 
> Это условия сосуществования разных взглядов на жизнь в одной экосистеме.

Условия сосуществования -- конструктивное обсуждение, а не закрытие обсуждаемой темы. 
Если взгляды разные, то тем более нельзя ставить условия.
Comment 43 Anton Farygin 2023-11-14 20:04:08 MSK
Пожалуйста, не надо переоткрывать - я не считаю это поведение ошибкой и буду считать только при появлении единого для всех систем документа, определяющего политику безопасности и в случае, если этот пакет будет нарушать ту самую политику безопасности.
Comment 44 Anton Farygin 2023-11-14 20:08:51 MSK
Я вам даже более того скажу - сейчас это поведение можно считать "стандартом" хотя бы из-за того, что другого поведения нет:

# grep  wheel /usr/share/polkit-1/rules.d/*
/usr/share/polkit-1/rules.d/org.freedesktop.bolt.rules:        subject.isInGroup("wheel")) {
/usr/share/polkit-1/rules.d/org.freedesktop.Flatpak.rules:        subject.isInGroup("wheel")) {
/usr/share/polkit-1/rules.d/org.freedesktop.fwupd.rules:        subject.isInGroup("wheel")) {
/usr/share/polkit-1/rules.d/org.freedesktop.packagekit.rules:        subject.isInGroup("wheel")) {

Я же не просто так пишу что не надо придираться к packagekit без повода - давайте сделаем правила, договоримся о них и будем следовать.
Comment 45 AEN 2023-11-14 20:09:32 MSK
(Ответ для Anton Farygin на комментарий #43)
> Пожалуйста, не надо переоткрывать - я не считаю это поведение ошибкой и буду
> считать только при появлении единого для всех систем документа,
> определяющего политику безопасности и в случае, если этот пакет будет
> нарушать ту самую политику безопасности.

Ты можешь считать как хочешь, но  открывший багу считает иначе. Не надо тут командовать. Тем более что бага уже на nobody, а не на тебе.
Comment 46 Anton Farygin 2023-11-14 20:11:33 MSK
Алексей, давай не будем писать скрипт, который автоматом будет игнорировать тебя на всей багзилле.
Comment 47 AEN 2023-11-14 20:14:54 MSK
Напиши. 
Зачем тебе конфликт?
Comment 48 Anton Farygin 2023-11-14 20:18:57 MSK
Вот и я не понимаю что ты тут устраиваешь на ровном месте.

у нас есть стандартный механизм утверждения политик упаковки пакетов в репозитории:
https://www.altlinux.org/Policy_Policy

Если кого-то не устраивает поведение по умолчанию пакетов, использующих мезанизм polkit для доступа к привелегиям в связке с wheel - он может написать Policy и предложить его на утверждение в devel.

Я с удовольствием присоединюсь к этому обсуждению и уверен, что там и таким способом мы сможем выработать единый подход к решению обсуждаемой задачи.
Comment 49 AEN 2023-11-14 20:24:16 MSK
(Ответ для Anton Farygin на комментарий #48)
> Вот и я не понимаю что ты тут устраиваешь на ровном месте.
> 
> у нас есть стандартный механизм утверждения политик упаковки пакетов в
> репозитории:
> https://www.altlinux.org/Policy_Policy
> 
> Если кого-то не устраивает поведение по умолчанию пакетов, использующих
> мезанизм polkit для доступа к привелегиям в связке с wheel - он может
> написать Policy и предложить его на утверждение в devel.
> 
> Я с удовольствием присоединюсь к этому обсуждению и уверен, что там и таким
> способом мы сможем выработать единый подход к решению обсуждаемой задачи.

Предложение Антона нарушает Policy?
Comment 50 Anton Farygin 2023-11-14 20:32:16 MSK
предложение Антона меняет поведение по умолчанию несовместимым образом и отключает существующую фичу.

Нужно веское основание для изменения поведения по умолчанию, к тому же такое поведение замечено за более чем одним пакетом (точнее - другого поведения у других использующих этот механизм - нет).

Наличие принятого Policy будет веским основанием.
Comment 51 Dmitry V. Levin 2023-11-14 20:36:14 MSK
.
Comment 52 Dmitry V. Levin 2023-11-14 20:41:22 MSK
Я считаю, что багрепорт является валидным, и этого достаточно, чтобы он оставался открытым.
Comment 53 Anton Farygin 2023-11-14 20:42:20 MSK
Мы об этом "я считаю" можем спорить вечно.
Comment 54 AEN 2023-11-14 20:47:21 MSK
(Ответ для Anton Farygin на комментарий #53)
> Мы об этом "я считаю" можем спорить вечно.

Так надо тогда спорить, а не скандалить. 
Тем более публично. 
От закрытия баги проблема не исчезает, исчезает лишь репутация
Comment 55 Anton Farygin 2023-11-14 20:50:41 MSK
От переоткрытия исправлено тоже не будет.
WONTFIX - это явно означает что это исправлено не будет. т.к. ошибкой не является - это специально сделанное поведение по умолчанию.
Comment 56 AEN 2023-11-14 21:02:49 MSK
(Ответ для Anton Farygin на комментарий #55)
> От переоткрытия исправлено тоже не будет.
> WONTFIX - это явно означает что это исправлено не будет. т.к. ошибкой не
> является - это специально сделанное поведение по умолчанию.

Решать надо сейчас, до бранчевания. 
Тем более, не надо прекращать обсуждение поднятой проблемы. Она есть и спасибо Антону, что он её поставил. И предложил решение, позволяющее релиз-менеджеру сохранить прежнее поведение.
Comment 57 Anton Farygin 2023-11-14 21:05:18 MSK
Да есть и другой вариант изменения этого поведения, без вмешательства в умолчания пакета.

Эти конфиги можно перекрывать из других пакетов. 
Тот, кому нужно - сделает пакет с другим поведением и добавит его в дистрибутив.
Comment 58 Anton Farygin 2023-11-14 21:06:43 MSK
А обсуждение именно этой проблемы лучше всего вести по регламенту:
https://www.altlinux.org/Policy_Policy

Т.к это поведение есть во многих пакетах.
Comment 59 AEN 2023-11-14 21:11:44 MSK
(Ответ для Anton Farygin на комментарий #57)
> Да есть и другой вариант изменения этого поведения, без вмешательства в
> умолчания пакета.
> 
> Эти конфиги можно перекрывать из других пакетов. 
> Тот, кому нужно - сделает пакет с другим поведением и добавит его в
> дистрибутив.

Безопасность, полагаю, должна быть по умолчанию. А откручивание гаек -- опция.
Comment 60 Evgeny Sinelnikov 2023-11-15 04:14:10 MSK
Мне эта проблема близка. Кажется пересекающейся с двумя историями: темой групповых политик в домене и темой политик безопасности по дефолту. Кроме того, мы, как раз приступаем к планированию новых модулей управления.

В данном, текущем случае, я поддерживаю больше ldv@ и antohami@. PackageKit не должен ставить пакеты без пароля. Это жесть. Это любой скрипт может от пользователя много чего натворить. Ну, по дефолту, это просто неприемлемо, конечно.

Насколько я понимаю rider@ и zerg@, то у них по другому не работает схема с offline updates. Ну, извините. Я уверен, что необходимое поведение можно организовать и без такого откручивания гаек. Попробую разобраться - напишу о результатах.

Предложение rider@ про политику безопасности поддерживаю. Давно планирую привлечь к этой задаче ресурсы. Тут нужно и время, и люди, и видение предварительное, и форма понятная как все это лучше представить.
Comment 61 Антон Мидюков 2023-11-15 04:20:18 MSK
(Ответ для Evgeny Sinelnikov на комментарий #60)
> Насколько я понимаю rider@ и zerg@, то у них по другому не работает схема с
> offline updates. Ну, извините. Я уверен, что необходимое поведение можно
> организовать и без такого откручивания гаек. Попробую разобраться - напишу о
> результатах.

Оно работает: https://bugzilla.altlinux.org/show_bug.cgi?id=48431#c32
Пакеты устанавливает сервис после перезагрузки, а не пользователь.
Comment 62 Evgeny Sinelnikov 2023-11-15 04:30:01 MSK
(Ответ для Антон Мидюков на комментарий #32)
> (Ответ для Anton Farygin на комментарий #29)
> > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> 
> Мои эксперименты показали, что обновиться можно без этого правила, так как
> обновляет сервис packagekit-offline-update.service после перезагрузки.
> Подготовить обновление может пользователь без ввода пароля через discover
> или gnome-software, нажав соответствующую кнопочку. Т.е. для обновления
> системы это правило не нужно.

Получается, что либо rider@ и zerg@ хотят, всё-таки, странного, либо есть объективная причина, которая не проговаривается. Нужно разобраться.
Comment 63 AEN 2023-11-15 04:40:11 MSK
(Ответ для Evgeny Sinelnikov на комментарий #60)

> Предложение rider@ про политику безопасности поддерживаю. Давно планирую
> привлечь к этой задаче ресурсы. Тут нужно и время, и люди, и видение
> предварительное, и форма понятная как все это лучше представить.

Нужно  различать политики безопасности Sisyphus , обсуждаемую Тим,
и политику безопасности продуктов "Базальт СПО".
Это неизбежно связанные документы, но разрабатываются и принимаются по разному.
Comment 64 Evgeny Sinelnikov 2023-11-15 04:50:20 MSK
(Ответ для AEN на комментарий #63)
> Нужно  различать политики безопасности Sisyphus , обсуждаемую Тим,
> и политику безопасности продуктов "Базальт СПО".
> Это неизбежно связанные документы, но разрабатываются и принимаются по
> разному.

Согласен. Хотя разницу не особо не ощущаю, если честно. Эти политики имеют кучу взаимозависимостей. Их нужно собрать в список, назвать, дать технические  пояснения и сравнить. Думаю будет много совпадений.
Comment 65 AEN 2023-11-15 05:01:06 MSK
(Ответ для Evgeny Sinelnikov на комментарий #64)
> (Ответ для AEN на комментарий #63)
> > Нужно  различать политики безопасности Sisyphus , обсуждаемую Тим,
> > и политику безопасности продуктов "Базальт СПО".
> > Это неизбежно связанные документы, но разрабатываются и принимаются по
> > разному.
> 
> Согласен. Хотя разницу не особо не ощущаю, если честно. Эти политики имеют
> кучу взаимозависимостей. Их нужно собрать в список, назвать, дать
> технические  пояснения и сравнить. Думаю будет много совпадений.

Политика безопасности Базальта -- внутренний документ фирмы, относящийся ко всему спектру её продуктов. Полиси тим -- публичный продукт сообщества. 
Конечно, они не должны противоречить друг другу.
Comment 66 Anton Farygin 2023-11-15 07:55:05 MSK
(Ответ для AEN на комментарий #59)
> (Ответ для Anton Farygin на комментарий #57)
> > Да есть и другой вариант изменения этого поведения, без вмешательства в
> > умолчания пакета.
> > 
> > Эти конфиги можно перекрывать из других пакетов. 
> > Тот, кому нужно - сделает пакет с другим поведением и добавит его в
> > дистрибутив.
> 
> Безопасность, полагаю, должна быть по умолчанию. А откручивание гаек --
> опция.

Возможно, но для этого всё равно нужно нормальное Policy.

Будет Policy - приведём в состояние с ним все затрагиваемые пакеты.
Comment 67 Anton Farygin 2023-11-15 07:56:59 MSK
(Ответ для Evgeny Sinelnikov на комментарий #62)
> (Ответ для Антон Мидюков на комментарий #32)
> > (Ответ для Anton Farygin на комментарий #29)
> > > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> > 
> > Мои эксперименты показали, что обновиться можно без этого правила, так как
> > обновляет сервис packagekit-offline-update.service после перезагрузки.
> > Подготовить обновление может пользователь без ввода пароля через discover
> > или gnome-software, нажав соответствующую кнопочку. Т.е. для обновления
> > системы это правило не нужно.
> 
> Получается, что либо rider@ и zerg@ хотят, всё-таки, странного, либо есть
> объективная причина, которая не проговаривается. Нужно разобраться.

Моё желание простое и должно быть понятно всем участникам - я против изменения устоявшегося поведения по умолчанию без обоснований.

Обоснование в данном случае может быть одно - это утверждённая по правилам Team политика безопасности в отношении приложений, использующих механизм polkit.
Comment 68 AEN 2023-11-15 08:28:57 MSK
(Ответ для Anton Farygin на комментарий #67)
> (Ответ для Evgeny Sinelnikov на комментарий #62)
> > (Ответ для Антон Мидюков на комментарий #32)
> > > (Ответ для Anton Farygin на комментарий #29)
> > > > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> > > 
> > > Мои эксперименты показали, что обновиться можно без этого правила, так как
> > > обновляет сервис packagekit-offline-update.service после перезагрузки.
> > > Подготовить обновление может пользователь без ввода пароля через discover
> > > или gnome-software, нажав соответствующую кнопочку. Т.е. для обновления
> > > системы это правило не нужно.
> > 
> > Получается, что либо rider@ и zerg@ хотят, всё-таки, странного, либо есть
> > объективная причина, которая не проговаривается. Нужно разобраться.
> 
> Моё желание простое и должно быть понятно всем участникам - я против
> изменения устоявшегося поведения по умолчанию без обоснований.

Чье же конкретно поведение в данном случае ты не хочешь  менять? 
>
Comment 69 Антон Мидюков 2023-12-13 10:45:14 MSK
(Ответ для Anton Farygin на комментарий #67)
> (Ответ для Evgeny Sinelnikov на комментарий #62)
> > (Ответ для Антон Мидюков на комментарий #32)
> > > (Ответ для Anton Farygin на комментарий #29)
> > > > Стандартный сценарий - установка/доустановка пакетов и обновление системы.
> > > 
> > > Мои эксперименты показали, что обновиться можно без этого правила, так как
> > > обновляет сервис packagekit-offline-update.service после перезагрузки.
> > > Подготовить обновление может пользователь без ввода пароля через discover
> > > или gnome-software, нажав соответствующую кнопочку. Т.е. для обновления
> > > системы это правило не нужно.
> > 
> > Получается, что либо rider@ и zerg@ хотят, всё-таки, странного, либо есть
> > объективная причина, которая не проговаривается. Нужно разобраться.
> 
> Моё желание простое и должно быть понятно всем участникам - я против
> изменения устоявшегося поведения по умолчанию без обоснований.

Вот после того, как вчера пропустили в p10:
https://packages.altlinux.org/ru/tasks/335797/

это больше не аргумент, потому что поменялось глобальное поведение, которое было у нас больше 10 лет.

(Ответ для Anton Farygin на комментарий #44)
> Я вам даже более того скажу - сейчас это поведение можно считать
> "стандартом" хотя бы из-за того, что другого поведения нет:
> 
> # grep  wheel /usr/share/polkit-1/rules.d/*
> /usr/share/polkit-1/rules.d/org.freedesktop.bolt.rules:       
> subject.isInGroup("wheel")) {
> /usr/share/polkit-1/rules.d/org.freedesktop.Flatpak.rules:       
> subject.isInGroup("wheel")) {
> /usr/share/polkit-1/rules.d/org.freedesktop.fwupd.rules:       
> subject.isInGroup("wheel")) {
> 

Вот я ничего страшного не вижу, что администраторам всё это разрешают.
А вот в том, что без пароля можно установить произвольный пакет из репозитория и сломать систему (это же может сделать скрипт!) вижу.
Например:

pkcon install apt-conf-ignore-systemd

И всё, система на systemd не будет обновляться корректно.

Или установить polkit-rule-packagekit-allow-remove, а потом всё поудалять.
Вот если бы разрешалась установка только приложений appstream, то никаких вопросов бы к умолчанию такому не было. Нельзя же быть уверенным, что какой-то пакет в репозитории не сломает всю систему. Поэтому при установке пакетов нужно запрашивать обязательно пароль.
Comment 70 Evgeny Sinelnikov 2023-12-13 11:11:20 MSK
Какая жесть, то есть вот такого правила больше нет:

$ sudo cat /etc/polkit-1/rules.d/50-default.rules

/* -*- mode: js; js-indent-level: 4; indent-tabs-mode: nil -*- */

// DO NOT EDIT THIS FILE, it will be overwritten on update
//
// Default rules for polkit
//
// See the polkit(8) man page for more information
// about configuring polkit.

polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});

А в чём причина такого резкой смены поведения?

Как быть теперь с доменными пользователями, которые доступ могли получить исключительно по группе.

Или предлагается каждому из тысяч пользователей вручную на тысячах машин в админские привилегии назначать? Или всем дружно вспоминать и учить на тысячах машин пароль локального рута?

А кто такое пропустил в стабильный бранч?

А что он предлагает делать с клиентами, у которых доступ отвалится?