Update Manager ne demande pas de mot de passe

21

Le gestionnaire de mise à jour Oneiric ne demande plus de mot de passe pour mettre à jour les logiciels déjà installés. Il s'agit d'un changement de comportement par rapport aux versions précédentes. Existe-t-il un moyen de revenir sur ce comportement et de demander au gestionnaire de mise à jour dans Oneiric de demander à nouveau un mot de passe?

Merci!

Argyle
la source
Avez-vous policykit-desktop-privilegesinstallé le package?
arranger

Réponses:

39

Il s'agit d'un changement délibéré de comportement ( source ):

Depuis Ubuntu 11.10, le gestionnaire de mise à jour ne demande plus le mot de passe de l'utilisateur pour appliquer les mises à jour. Il a été décidé d'améliorer la convivialité et de faciliter l'application des mises à jour de sécurité par les utilisateurs et donc d'augmenter la sécurité du système. La justification est la suivante:

  • Comme dans les versions précédentes, par défaut, seules les personnes du groupe admin sont autorisées à effectuer des mises à jour de sécurité.

  • Seules les mises à jour des logiciels déjà installés peuvent être appliquées sans mot de passe. L'installation de logiciels supplémentaires nécessite toujours que les utilisateurs saisissent leur mot de passe.

  • L'invite de mot de passe était devenue un irritant pour certaines personnes, de sorte qu'elles devaient simplement appuyer sur 'Annuler' au lieu d'installer les mises à jour. L'invite de mot de passe a diminué la sécurité du système pour ces utilisateurs.

  • Les personnes qui appliquaient consciencieusement les mises à jour sont devenues conditionnées pour entrer leur mot de passe privilégié peut-être quotidiennement. Lorsque l'utilisateur est invité à entrer le mot de passe, cela devrait signifier quelque chose et la fréquence des mises à jour du gestionnaire de mise à jour signifiait que certaines personnes ne pensaient plus à la raison pour laquelle elles saisissaient leur mot de passe. Pour ces utilisateurs, l'invite de mot de passe pouvait réduire la sécurité.

Pour les environnements où cette modification n'est pas jugée appropriée, cette fonctionnalité peut être désactivée par l'administrateur via PolicyKit ou en créant des utilisateurs qui ne font pas partie du groupe d'administration (une pratique recommandée pour commencer).

La politique PolicyKit correspondante se trouve dans le fichier /var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pkla:

[Update already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=yes

Cela permet à toute personne du groupe admin de mettre à jour les packages sans avoir à saisir de mot de passe. Je n'ai jamais utilisé PolicyKit auparavant, mais sur la base de ma lecture de la page de manuel de pklocalauthority , pour remplacer cela, vous devez créer un fichier.

/var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

vous aurez besoin des privilèges de superutilisateur pour le créer, alors utilisez cette commande ...

gksudo gedit /var/lib/polkit-1/localauthority/50-local.d/require-password-to-update.pkla

qui ouvrira un nouveau fichier dans gedit et y mettra l'entrée de stratégie suivante:

[Require password to upgrade already installed software]
Identity=unix-group:admin
Action=org.debian.apt.upgrade-packages
ResultActive=auth_admin

Enregistrez cela et quittez gedit, vous pouvez maintenant ouvrir le gestionnaire de mise à jour et il vous demandera de confirmer votre mot de passe avant d'appliquer toute mise à jour.

Blair
la source
L'effet doit être immédiat, sans même se déconnecter.
enzotib
Excellente réponse bien documentée. Fonctionne parfaitement, immédiatement, sans déconnexion. Merci.
Argyle
Excellente réponse Blair J'aime particulièrement la partie expliquant le rationnel derrière elle +1
Allan
Oh, mon ... c'est vieux ... J'ai commencé à utiliser Ubuntu 12.04 il y a quelques années et j'avais utilisé le gestionnaire de mise à jour sans me rendre compte qu'il n'avait jamais demandé mon mot de passe! J'étais sur le point de poser une question, mais je suis content d'avoir trouvé cette excellente réponse à la place. +1
Samuel