====== Allgemein ======
PolicyKit ist in der Lage dynamisch Rechte für den Zugriff auf Systemressourcen zu erteilen. Es wird über Konfigurationsdateien gesteuert und kann somit festgelegten Nutzern oder Nutzergruppen Zugriff auf verschiedene Ressourcen gewähren. So kann z.B. über PolicyKit Benutzern gewährt werden den Computer herunter zu fahren ohne ihnen root-Rechte zugestehen zu müssen. Selbiges gilt z.B. für das mounten einer CD.
====== Sicherheitshinweis ======
Durch die Verwendung von PolicyKit erlangen normale User deutlich höhere Rechte. Die Steigerung des Komforts kann also auch eine Gefahr für die Systemsicherheit darstellen. Aus diesem Grund sollte mit der Vergabe der Rechte mit Bedacht umgegangen werden! Es ist empfehlenswert nur so viele Berechtigungen zu setzen als notwendig.
'//Prinzipiell gilt: //Erst testen ob das benötigte Feature auch ohne **PolicyKit** funktioniert, denn gerade die größeren Desktop-Systeme könne viele Berechtigungsfragen selbst klären.'''''
====== KDE & KDM Nutzer ======
Nutzer die **KDE** in Kombination mit **KDM** einsetzen können auf das Setzen der Rechte zum //Herunterfahren// und //Neustarten// des Rechners verzichten, da KDE dies auch ohne explizite Einstellung erlaubt. Alle weiteren Rechte müssen jedoch gesetzt werden wenn sie benötigt sind (z.B. **org.freedesktop.hal.storage.mount-removable** zum mounten von CDs).
====== Gnome & GDM Nutzer ======
Andererseits können Nutzer die **Gnome** in Kombination mit **GDM** einsetzen beispielsweise auf das Setzen der Berechtigungen zum CD mounten verzichten, da dies durch Gnome selbst abgedeckt ist.
====== Konfiguration anpassen ======
Die Konfiguration erfolgt über **/usr/local/etc/PolicyKit/PolicyKit.conf**. Zwischen die Tags //// und //// ist folgender Text einzufügen.
//Hinweis: Da diese Datei essenziell für die Systemsicherheit ist, ist sie selbst für den User //root// schreibgeschützt. Bei Verwendung des //vim// muss die Datei daher mit **:x!** gespeichert werden.//
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
\t
\t\t
\t
Dabei ist darauf zu achten was man alles hinzufügt. So kann man z.B. lediglich das Herunterfahren aber nicht das Rebooten erlauben etc. Jeder Eintrag hier erlaubt den entsprechenden Zugriff für **alle** Benutzer!
===== CDs mounten =====
Sollte über die Konfiguration **org.freedesktop.hal.storage.mount-removable** CDs gemounted werden ist darauf zu achten, dass das entsprechende CD-Laufwerk //**nicht**// in der **/etc/fstab** aufgeführt wird oder auskommentiert ist.
Dies ist auch bei der Verwendung von **KDE** oder **Gnome** notwendig, selbst wenn **Gnome** nicht auf PolicyKit zurückgreift.