Controvertida política predeterminada en Fedora 12 permite a usuarios sin privilegios instalar paquetería firmada

Fedora 12 viene con una política predeterminada que permite a los usuarios locales del sistema poder instalar paquetería sin necesidad de acceso como root, siempre que ésta esté debidamente firmada (es decir, que sea confiable). Hay muchos quienes están en contra por tratarse de algo que tradicionalmente se evitaba en GNU/Linux. Hay muchos quienes defienden la postura o al menos están de acuerdo. Como sea, la discusión es una tormenta en un vaso de agua por una política que se puede modificar fácilmente.

La política apenas fue detectada por los usuarios con el lanzamiento final de Fedora 12, lo cual generó un masivo hilo de discusión al respecto. La política se puede modificar a través de PolicyKit.

Algunos desarrolladores de Fedora argumentan que esta política se definió de esta para la distribución debido a su enfoque como escritorio, lo cual consideran es más adecuado para que el usuario pueda instalar programas y aplicaciones que necesite sin necesidad de involucrar la autenticación como root. Desarrolladores como Rahul Sundaram y Bastien Nocera, éste último es memor conocido como el creador de Totem, es uno de los muchos desarrolladores que defienden este enfoque en aras de mejorar la experiencia para el usuario.

Para eliminar esta política, alguien se tomo la molestia de documentarla debido a que fue omitida de las notas de lanzamiento de Fedora 12. Para eliminar la política, solo se requiere ejecutar como root:

pklalockdown --lockdown org.freedesktop.packagekit.package-install

Para volver a implementarla:

pklalockdown --remove-lockdown org.freedesktop.packagekit.package-install

También se puede editar el fichero /var/lib/polkit-1/localauthority/50-local.d/10-my-pkgkit-policy.pkla y poner el siguiente contenido:

[NoUsersInstallAnything]
Identity=unix-user:*
Action=org.freedesktop.packagekit.package-install
ResultAny=auth_admin
ResultInactive=auth_admin
ResultActive=auth_admin

El anterior es el método sugerido, debido a que pklalockdown desaparecerá en futuros lanzamientos.

Fuente