文件管理器如何在没有 root 的情况下挂载驱动器？

Question 1

在图形工作站控制台上操作的用户注意到，可以执行多个程序，而无需明显需要 root 身份验证或重新启动等密码。此过程涉及/usr/sbin/userhelper在比最初设计更广泛的上下文中巧妙地使用 SUID 程序。

图形用户执行一个中间别名程序/usr/bin/consolehelper，该程序根据特定的 PAM（可编程身份验证模块）配置授权操作，然后将命令发送到 SUID 程序以执行具有特权的用户程序。如果用户没有适当的授权，则请求的程序将在用户的Linux环境下执行。

按照当前部署，重新启动所需的 PAM 配置文件包含对用户在控制台登录或当前在 root 环境下运行的检查，以禁止密码请求。

Answer

在图形工作站控制台上操作的用户注意到，可以执行多个程序，而无需明显需要 root 身份验证或重新启动等密码。此过程涉及/usr/sbin/userhelper在比最初设计更广泛的上下文中巧妙地使用 SUID 程序。

图形用户执行一个中间别名程序/usr/bin/consolehelper，该程序根据特定的 PAM（可编程身份验证模块）配置授权操作，然后将命令发送到 SUID 程序以执行具有特权的用户程序。如果用户没有适当的授权，则请求的程序将在用户的Linux环境下执行。

按照当前部署，重新启动所需的 PAM 配置文件包含对用户在控制台登录或当前在 root 环境下运行的检查，以禁止密码请求。

Question 2

它使用 U 盘。（不过，FUSE 用于网络文件系统）。 udisk 的命令行界面可供您进行实验。在最近的版本中，它带有命令行界面udisksctl。

udisksd以 root 身份运行，并使用以下命令接受用户请求D总线。

udisksd用途~~政策工具包~~PolKit 来决定允许哪些请求。有些可能需要额外的权限，例如格式化内部驱动器。这可能涉及额外的身份验证步骤 - 类似于 Windows UAC 提示符或命令行上的 sudo。我不知道额外的身份验证是如何协调的。

目前，通过 D-Bus 的请求是通过使用 SCM_CREDENTIALS 的 Unix 套接字发出的，它标识发出请求的进程。

决策中使用的因素之一是用户是在本地登录还是通过网络登录（例如ssh）。我相信此信息是由systemd-logind（与合谋pam-systemd）提供的。

Answer

它使用 U 盘。（不过，FUSE 用于网络文件系统）。 udisk 的命令行界面可供您进行实验。在最近的版本中，它带有命令行界面udisksctl。

udisksd以 root 身份运行，并使用以下命令接受用户请求D总线。

udisksd用途~~政策工具包~~PolKit 来决定允许哪些请求。有些可能需要额外的权限，例如格式化内部驱动器。这可能涉及额外的身份验证步骤 - 类似于 Windows UAC 提示符或命令行上的 sudo。我不知道额外的身份验证是如何协调的。

目前，通过 D-Bus 的请求是通过使用 SCM_CREDENTIALS 的 Unix 套接字发出的，它标识发出请求的进程。

决策中使用的因素之一是用户是在本地登录还是通过网络登录（例如ssh）。我相信此信息是由systemd-logind（与合谋pam-systemd）提供的。

Question 3

另一个解决方案是通过 Polkit...编辑 /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy

随处改变：

<defaults>
  <allow_any>auth_admin</allow_any>
  <allow_inactive>auth_admin</allow_inactive>
  <allow_active>auth_admin_keep</allow_active>
</defaults>

... 和：

<defaults>
      <allow_any>yes</allow_any>
      <allow_inactive>yes</allow_inactive>
      <allow_active>yes</allow_active>
</defaults>

或者，创建规则：编辑或创建：/etc/polkit-1/rules.d/50-udisks.rules

polkit.addRule(function(action, subject) {
  var YES = polkit.Result.YES;
  var permission = {
    // only required for udisks1:
    "org.freedesktop.udisks.filesystem-mount": YES,
    "org.freedesktop.udisks.filesystem-mount-system-internal": YES,
    "org.freedesktop.udisks.luks-unlock": YES,
    "org.freedesktop.udisks.drive-eject": YES,
    "org.freedesktop.udisks.drive-detach": YES,
    // only required for udisks2:
    "org.freedesktop.udisks2.filesystem-mount": YES,
    "org.freedesktop.udisks2.filesystem-mount-system": YES,
    "org.freedesktop.udisks2.encrypted-unlock": YES,
    "org.freedesktop.udisks2.eject-media": YES,
    "org.freedesktop.udisks2.power-off-drive": YES,
    // required for udisks2 if using udiskie from another seat (e.g. systemd):
    "org.freedesktop.udisks2.filesystem-mount-other-seat": YES,
    "org.freedesktop.udisks2.encrypted-unlock-other-seat": YES,
    "org.freedesktop.udisks2.eject-media-other-seat": YES,
    "org.freedesktop.udisks2.power-off-drive-other-seat": YES
  };
  if (subject.isInGroup("users")) {
    return permission[action.id];
  }
});

然后重启！

Answer