Update Manager no solicita una contraseña

21

El administrador de actualizaciones de Oneiric ya no solicita una contraseña para actualizar el software ya instalado. Este es un cambio en el comportamiento de las versiones anteriores. ¿Hay alguna forma de revertir este comportamiento y hacer que Update Manager en Oneiric vuelva a solicitar una contraseña?

¡Gracias!

11.10 update-manager Argyle
fuente
¿Tienes el policykit-desktop-privilegespaquete instalado?
organizar el

Respuestas:

39

Este es un cambio deliberado en el comportamiento ( fuente ):

A partir de Ubuntu 11.10, el administrador de actualizaciones ya no solicita la contraseña del usuario para aplicar las actualizaciones. Se decidió mejorar la usabilidad y facilitar a los usuarios la aplicación de actualizaciones de seguridad y, por lo tanto, aumentar la seguridad del sistema. La justificación es la siguiente:

  • Al igual que en versiones anteriores, de forma predeterminada solo las personas del grupo de administradores tienen acceso para realizar actualizaciones de seguridad.

  • Solo se pueden aplicar actualizaciones para el software ya instalado sin una contraseña. La instalación de software adicional aún requiere que las personas ingresen su contraseña.

  • La solicitud de contraseña se había vuelto irritante para algunas personas, por lo que simplemente presionarían 'Cancelar' en lugar de instalar las actualizaciones. La solicitud de contraseña disminuyó la seguridad del sistema para esos usuarios.

  • Las personas que aplicaron las actualizaciones debidamente se condicionaron a ingresar su contraseña privilegiada tal vez a diario. Cuando se le solicita al usuario la contraseña, debe significar algo y la frecuencia de las actualizaciones del administrador de actualizaciones significa que algunas personas ya no piensan por qué estaban ingresando su contraseña. Para estos usuarios, la solicitud de contraseña tenía el potencial de reducir la seguridad.

Para entornos en los que este cambio se considera inapropiado, el administrador puede deshabilitar esta funcionalidad a través de PolicyKit o creando usuarios que no estén en el grupo de administradores (una práctica recomendada para empezar).

La política relevante de PolicyKit está en el archivo /var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pkla:

[Update already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=yes

Esto otorga permiso a cualquier persona del grupo de administración para actualizar paquetes sin tener que ingresar una contraseña. Nunca antes había usado PolicyKit, pero según mi lectura de la página de manual de pklocalauthority , para anular esto, debe crear este archivo.

/var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

necesitará privilegios de superusuario para crearlo, así que use este comando ...

gksudo gedit /var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

que abrirá un nuevo archivo en gedit y colocará la siguiente entrada de política:

[Require password to upgrade already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=auth_admin

Guarde esto y salga de gedit, ahora puede abrir el administrador de actualizaciones y le pedirá que confirme su contraseña antes de aplicar cualquier actualización.

Blair
fuente
El efecto debe ser inmediato, sin ni siquiera cerrar sesión.
enzotib
Excelente respuesta bien investigada. Funcionó perfectamente, inmediatamente, sin cerrar sesión. Gracias.
Argyle
Excelente respuesta Blair Me gusta especialmente la parte que explica lo racional detrás de esto +1
Allan
Oh, mi ... esto es viejo ... ¡Comencé a usar Ubuntu 12.04 hace un par de años y había estado usando el administrador de actualizaciones sin darme cuenta de que nunca me pidió mi contraseña! Estaba a punto de hacer una pregunta, pero me alegro de haber encontrado esta gran respuesta. +1
Samuel