Но в X-сах, от непревилегированного,
запрос идёт на org.freedesktop.udisks2.filesystem-mount-system и org.freedesktop.udisks2.filesystem-mount-other-seat соответственно, с запросом пароля wheel.
Отключите управление томами у thunar и проверьте вновь.
Антон, ты не прочитал. В
Ответ #891 совсем не о том.
Тогда ещё короче и по-возможности понятнее:
В системе alt-p8-xfce-20190312-i586
на xfce с polkit agent,
непревилегированый пользователь,
# groups tester
tester : tester
находясь в
# who | grep tester
tester tty2 2019-05-23 15:37 (localhost)
игнорируя запрет системы
# ls -1 /etc/polkit-1/rules.d/
50-default.rules
60-mount-other-seat.rules.bak
60-mount-other-seat.rules.bak0
60-system-mount.rules.bak
# sed -n '171p; 239,243p' /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy
<action id="org.freedesktop.udisks2.filesystem-mount-other-seat">
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin_keep</allow_active>
</defaults>
накопитель usb
# ls -l /dev/disk/by-id/ | grep sdc
lrwxrwxrwx 1 root root 9 май 23 11:54 usb-Multiple_Card_Reader_058F63666433-0:0 -> ../../sdc
lrwxrwxrwx 1 root root 10 май 23 11:54 usb-Multiple_Card_Reader_058F63666433-0:0-part1 -> ../../sdc1
lrwxrwxrwx 1 root root 10 май 23 11:54 usb-Multiple_Card_Reader_058F63666433-0:0-part2 -> ../../sdc2
lrwxrwxrwx 1 root root 10 май 23 11:54 usb-Multiple_Card_Reader_058F63666433-0:0-part3 -> ../../sdc3
может примонтировать
# mount | grep tester
/dev/sdc1 on /run/media/tester/ALT regular-cinnamon_x86_64 type iso9660 (ro,nosuid,nodev,relatime,nojoliet,check=s,map=n,blocksize=2048,uid=501,gid=501,dmode=500,fmode=400,uhelper=udisks2)
/dev/sdc1 on /var/run/media/tester/ALT regular-cinnamon_x86_64 type iso9660 (ro,nosuid,nodev,relatime,nojoliet,check=s,map=n,blocksize=2048,uid=501,gid=501,dmode=500,fmode=400)
И из-за этой уязвимости в альтах, невозможно организовать распределение прав доступа для other-seat в рамках группы storage.
При этом следует учитывать что, это касается только устройств other-seat.
Поскольку системные устройства обрабатываются верно (в отличие от other-seat):
# head -n 11 vcs2.txt
[tester@localhost ~]$ ls -l /dev/disk/by-id/ | grep sda11; udisksctl mount -b /dev/sda11
lrwxrwxrwx 1 root root 11 май 23 11:48 ata-WDC_WD5000LPCX-24C6HT0_WD-WXC1A45NS2D4-part11 -> ../../sda11
lrwxrwxrwx 1 root root 11 май 23 11:48 wwn-0x50014ee605c946d5-part11 -> ../../sda11
==== AUTHENTICATING FOR org.freedesktop.udisks2.filesystem-mount-system ====
Для монтирования WDC WD5000LPCX-24C6HT0 (/dev/sda11) требуется подтверждение подлинности пользователя
Authenticating as: altlinux
Password:
polkit-agent-helper-1: pam_authenticate failed: Authentication failure
==== AUTHENTICATION FAILED ====
Error mounting /dev/sda11: GDBus.Error:org.freedesktop.UDisks2.Error.NotAuthorized: Not authorized to perform operation
[tester@localhost ~]$
в соответствии с запрошенным действием и запросом на авторизацию
# sed -n '92p; 163,167p' /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy
<action id="org.freedesktop.udisks2.filesystem-mount-system">
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin_keep</allow_active>
</defaults>
Если что, извините парни, проще и короче, суть этой серьёзной проблемы, объяснить уже не могу.
