web-dev-qa-db-ja.com

Update Managerはパスワードを要求しません

Oneiric更新マネージャーは、既にインストールされているソフトウェアを更新するためのパスワードを要求しなくなりました。これは、以前のバージョンからの動作の変更です。この動作を元に戻し、OneiricのUpdate Managerにパスワードを再度要求する方法はありますか?

ありがとう!

21
Argyle

これは意図的な動作の変更です( source ):

Ubuntu 11.10の時点で、update-managerはアップデートを適用するためにユーザーのパスワードの入力を求めなくなりました。これは、使いやすさを改善し、ユーザーがセキュリティ更新プログラムを簡単に適用できるようにし、システムのセキュリティを高めるために決定されました。その根拠は次のとおりです。

  • 以前のリリースと同様に、デフォルトでは、管理者グループのユーザーのみがセキュリティ更新を実行するためのアクセスを許可されています。

  • パスワードなしで適用できるのは、既にインストールされているソフトウェアの更新のみです。追加のソフトウェアをインストールする場合でも、パスワードを入力する必要があります。

  • パスワードプロンプトは、更新プログラムをインストールする代わりに「キャンセル」を押すだけのような刺激的なものになっていました。パスワードプロンプトにより、これらのユーザーのシステムセキュリティが低下しました。

  • 更新を忠実に適用した人々は、おそらく毎日パスワードを入力するようになりました。ユーザーがパスワードの入力を求められたとき、それは何かを意味するはずであり、更新マネージャーの更新の頻度は、一部の人々がもはやパスワードを入力した理由について考えなくなったことを意味します。これらのユーザーにとって、パスワードプロンプトはセキュリティを低下させる可能性がありました。

この変更が適切でないと思われる環境では、管理者がPolicyKitを使用するか、管理グループに属さないユーザーを作成することにより、この機能を無効にすることができます(推奨されるプラクティス)。

関連するPolicyKitポリシーはファイル/var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pklaにあります。

[Update already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=yes

これにより、パスワードを入力せずにパッケージを更新する管理者グループのすべてのユーザーにアクセス許可が付与されます。これまでPolicyKitを使用したことはありませんが、 pklocalauthorityのマンページ を読んだことに基づいて、これをオーバーライドするには、このファイルを作成する必要があります。

/var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

それを作成するにはスーパーユーザー権限が必要なので、このコマンドを使用してください...

gksudo gedit /var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

geditで新しいファイルを開き、次のポリシーエントリをそのファイルに配置します。

[Require password to upgrade already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=auth_admin

これを保存してgeditを終了すると、アップデートマネージャーを開くことができ、アップデートを適用する前にパスワードの確認を求められます。

38
Blair