Debianizzati.Org

[i.c]

Ho una linux box Debian GNU/Linux 9.5.

dopo questo comando
sudo -i -u postgres
(non so se sia il responsabile del problema), Synaptic all'inserimento
della password di root mi segnala il seguente errore:

è richiesto autenticarsi per istallare i pacchetti software.
Un'applicazione sta tentando di compiere un'azione che richiede dei privilegi.
è richiesto autenticarsi per eseguire tale azione.
Autenticazione non riuscita

Ho scoperto però che si avvia inserendo la password utente.

Come risolvere questo noioso problema?
Grazie in anticipo.

[Aki]

Puoi fornire il contenuto del file /etc/sudoers ?

[i.c]

sudoers

Codice: Seleziona tutto

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

[i.c]

All'interno di etc/sudoers.d è contenuto solo il file README appresso riportato

etc/sudoers.d/README

Codice: Seleziona tutto

#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
#
#       #includedir /etc/sudoers.d
#
# This will cause sudo to read and parse any files in the /etc/sudoers.d
# directory that do not end in '~' or contain a '.' character.
#
# Note that there must be at least one file in the sudoers.d directory (this
# one will do), and all files in this directory should be mode 0440.
#
# Note also, that because sudoers contents can vary widely, no attempt is
# made to add this directive to existing sudoers files on upgrade.  Feel free
# to add the above directive to the end of your /etc/sudoers file to enable
# this functionality for existing installations if you wish!
#
# Finally, please note that using the visudo command is the recommended way
# to update sudoers content, since it protects against many failure modes.
# See the man page for visudo for more information.
#

[Aki]

Hai inserito l’utente postgres nel gruppo sudo ?

[i.c]

No, non l'ho inserito.

[Aki]

No, non l'ho inserito.

Ma ne fa parte ?

[i.c]

No

[Aki]

No

Potresti, per cortesia,fornire il contenuto del file /etc/group ?

[i.c]

/etc/group

Codice: Seleziona tutto

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:delia,iolando
tty:x:5:
disk:x:6:
lp:*:7:root,lp,iolando,hplip
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:delia
fax:x:21:delia,iolando
voice:x:22:
cdrom:x:24:iolando,delia
floppy:x:25:iolando,delia
tape:x:26:delia,iolando
sudo:x:27:iolando
audio:x:29:iolando,pulse,delia
dip:x:30:iolando,delia
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:iolando,delia
sasl:x:45:
plugdev:x:46:iolando,delia
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
crontab:x:102:
messagebus:x:103:
Debian-exim:x:104:
mlocate:x:105:
ssh:x:106:
avahi:x:107:
netdev:x:108:iolando,$,delia
bluetooth:x:109:iolando
lpadmin:*:110:root
ssl-cert:x:111:postgres
fuse:*:112:iolando,delia
utempter:x:113:
Debian-gdm:x:114:
scanner:x:115:saned,iolando,delia
saned:x:116:
iolando:x:1000:iolando
powerdev:x:118:
pulse:x:119:
pulse-access:x:120:
colord:x:121:
rtkit:x:122:
ntp:x:123:
firebird:x:124:
sambashare:x:125:
delia:x:1001:
nobody:x:1002:
sambamachines:x:1003:
rdma:x:126:
mysql:x:127:
uuidd:x:101:
input:x:128:
systemd-journal:x:129:
systemd-timesync:x:130:
systemd-network:x:131:
systemd-resolve:x:132:
systemd-bus-proxy:x:133:
geoclue:x:134:
mldonkey:x:135:
debian-tor:x:136:
lightdm:x:138:
postgres:x:117:

intervento di moderazione: incluso tra tag CODE il contenuto sopra riportato per una migliore leggibilità.

[i.c]

nessun suggerimento?

[s3v]

Scusate se intervengo, ma l'utente postgresql ha una shell di login? Perché mi pare di ricordare che utenti senza shell di login non possono usarlo.

[Aki]

nessun suggerimento?

Sulla base dei log che hai inviato e di alcuni test che ho eseguito, risulta quanto segue.

Installando postgresql, è stata creata l'utenza postgres. Come ha giustamente osservato l'utente s3v nel precedente messaggio, si tratta di una utenza con limitati privilegi: potrebbe aprire una shell (come risulta dal file /etc/passwd presa da una mia installazione di prova), ma non ha di default una password configurata e, quindi, non può di default eseguire la login (è sicuramente una impostazione di sicurezza):

Codice: Seleziona tutto

# grep postgres /etc/passwd
postgres:x:113:118:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash

# grep postgres /etc/shadow
postgres:*:15827:0:99999:7:::


Pertanto, la login per l'utente postgres è possibile solo per il tramite di un'altra utenza con privilegi amministrativi.

Nel caso della tua installazione, hai aperto una sessione (devo presumere sulla base degli indizi) con l'utente chiamato iolando da cui hai avviato, tramite il comando sudo, una shell per l'utente postgres. L'utente iolando, infatti, può avviare il programma sudo perché appartiene al gruppo "sudo" (sulla base del file /etc/group che hai inviato):

Codice: Seleziona tutto

/etc/group :
[..]
sudo:x:27:iolando
[..]


Una volta che hai avviato una shell per l'utente postgres, dalla stessa avviando il programma synaptic-pkexec, ti viene richiesta la password dell'utente iolando (e non quella dell'utente postgres) perché il programma synaptic-pkexec all'avvio effettua l'autenticazione tramite il sistema di autenticazione di gnome (polkit-1) ed, in particolare, il sistema di autenticazione risponde alla seguente azione:

Codice: Seleziona tutto

# pkaction --verbose --action-id com.ubuntu.pkexec.synaptic
com.ubuntu.pkexec.synaptic:
  description:       
  message:           Authentication is required to run the Synaptic Package Manager
  vendor:           
  vendor_url:       
  icon:              synaptic
  implicit any:      auth_admin
  implicit inactive: auth_admin
  implicit active:   auth_admin
  annotation:        org.freedesktop.policykit.exec.path -> /usr/sbin/synaptic
  annotation:        org.freedesktop.policykit.exec.allow_gui -> true


Da tale evento, risulta che per avviare synaptic è richiesto che l'utente che si è collegato alla sessione utente abbia i privilegi di un gruppo amministrativo (implicit any: auth_admin), privilegi che in Debian, se non erro, sono attribuiti nella configurazione base all'utente root oppure agli utenti del gruppo sudo, come indicato nelle seguenti policy di polkit-1:

Codice: Seleziona tutto

$ cat /etc/polkit-1/localauthority.conf.d/50-localauthority.conf
# Configuration file for the PolicyKit Local Authority.
#
# DO NOT EDIT THIS FILE, it will be overwritten on update.
#
# See the pklocalauthority(8) man page for more information
# about configuring the Local Authority.
#
[Configuration]
AdminIdentities=unix-user:0

$ cat /etc/polkit-1/localauthority.conf.d/51-debian-sudo.conf
[Configuration]
AdminIdentities=unix-group:sudo


Poiché l'utente proprietario della sessione da cui hai avviato sudo è l'utente iolando, il sistema di autenticazione richiamato dal synaptic ti chiede la password dell'utente iolando. Per verificare l'utente titolare della sessione, dalla shell avviata tramite sudo per l'utente postgres, puoi utilizzare il seguente comando:

Codice: Seleziona tutto

aki@debian:/etc/polkit-1$ sudo -i -u postgres
[sudo] password di aki:
postgres@debian:~$ loginctl
   SESSION        UID USER             SEAT             TTY             
         5       1000 aki              seat0                           

1 sessions listed.


Pertanto, il comportamento del programma synaptic che hai descritto dipende dall'utilizzo di sudo.

[i.c]

Ok grazie Aki.

Appena ho un po' di tempo cerco di risolvere.
Io preferirei assegnare il privilegio di esecuzione di Synaptic solo all'utente root.

Per adesso di grazie

[Aki]

@i.c: hai aggiornamenti ?