Хуже всего то, что какой-то функционал в системе, завязан на этом.
Нда...Дела...
А ведь именно безопасность когда-то была коньком Линукса...
Если вы используете системы на systemd, учтите:
1. Что этот рулез
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c1заблокирует уязвимость (#37516), но сломает DE-независимую регулировку яркости на интел-графике как минимум. И ещё возможно что-то. (Xfce-зависимая останется в целости и работающей, ибо у неё совсем другой алгоритм)
2. Что делать с systemd-run (#35763), хрен его знает.
3. В этом комментарии
https://bugzilla.altlinux.org/show_bug.cgi?id=35763#c12Валера Иноземцев неправ.
polkit считает его не root -ом, а админом, со всеми вытекающими (будьте предельно осторожны с этим):
# grep -v '^\/\|^$' /etc/polkit-1/rules.d/50-default.rules
polkit.addAdminRule(function(action, subject) {
return ["unix-group:wheel"];
});
# groups user1 tester tester2
user1 : user1 wheel ...
tester : tester wheel audio
tester2 : tester2
$ su - tester2
Password:
$ whoami; pkexec /bin/bash
tester2
==== AUTHENTICATING FOR org.freedesktop.policykit.exec ====
Authentication is needed to run `/bin/bash' as the super user
Multiple identities can be used for authentication:
1. user1
2. tester
Choose identity to authenticate as (1-2): 2
Password:
...
И в системе с администратором и соадминистратором, это пахнет исключительно дерьмово. Особенно если аккаунт соадминистратора скомпроментирован.
4. Во всех альтовых системах на sysvinit, если sudo не настраивать через ALL=(ALL) ALL, то ни один метод получения окружения root, в альтовых системах на sysv работать не будет:
a) По причине отсутствия systemd.
b) По причине сломанной авторизации и значит не работающего по-умолчанию pkexec при выполнении команды от другого пользователя, с отказом на сбое аутентификации.
c) По причине ненастроенного по-умолчанию sudo (всё для всех wheel).
При соблюдении всех трёх правил, в альтовых системах на sysv (которые в xfce-sysv соблюдены по-умолчанию), одного или больше соадминистраторов, можно создавать смело. В доступе получения окружения root по своему паролю, в альтовых системах на sysv, им будет отказано.
5. В системах на systemd, я бы категорически не рекомендовал бы создавать соадминистратора или предоставлять аккаунт пользователя с UID=500 в общее пользование. Вне зависимости от того, насколько мотивация была бы весомой.