add unit tests for PolKitResult

implement OOM testing

The glib dep removal. It has begun.

add tests for PolKitError

remove dead code

extend test coverage for PolKitAction

It's now at 100%. Yay me.

add unit test framework with gcov coverage support (make check-coverage)

This is what it looks like

==============================================================================
Test coverage for module polkit:
==============================================================================
polkit-sysdeps.c                                        :   0% (0 of 38)
polkit-error.c                                          :   0% (0 of 44)
polkit-result.c                                         :   0% (0 of 16)
polkit-context.c                                        :   0% (0 of 213)
polkit-action.c                                         :  34% (20 of 58)
polkit-seat.c                                           :   0% (0 of 34)
polkit-session.c                                        :   0% (0 of 97)
polkit-caller.c                                         :   0% (0 of 81)
polkit-policy-file-entry.c                              :   0% (0 of 72)
polkit-policy-file.c                                    :   0% (0 of 220)
polkit-policy-cache.c                                   :   0% (0 of 98)
polkit-policy-default.c                                 :   0% (0 of 67)
polkit-debug.c                                          :   0% (0 of 15)
polkit-utils.c                                          :   0% (0 of 42)
polkit-config.c                                         :   0% (0 of 263)
polkit-authorization.c                                  :   0% (0 of 162)
polkit-authorization-constraint.c                       :   0% (0 of 107)
polkit-authorization-db.c                               :   0% (0 of 222)

Source lines          : 6919
Actual statements     : 1849
Executed statements   : 20
Test coverage         : 1%

updated TODO list

introduce one-shot authorizations

make polkit_context_is_[caller|session]_authorized() take a PolKitError

rename revoke_if_oneshot to is_mechanism and also expose this on D-Bus

avoid defining the same functions in both libpolkit and libpolkit-grant

Looks like I forgot to delete those when doing the big move in
commit d9d790870b0372162091b00e19e38a24472a306d

remember to reset killtimer and fix an error message

provide a polkit D-Bus service that is activated on demand

Right now we provide two methods

 IsProcessAuthorized
 IsSystemBusNameAuthorized

This is useful for a couple of reasons

 - some mechanisms (e.g. Avahi) runs in a chroot and their only
   life-line to the world is a system bus connection. If it were to
   use libpolkit (and Lennart says he wants it to, yay!) it would need
   to bindmount crazy stuff into the chroot.

 - languages for which libpolkit bindings not yet exist can use
   this interface

Going forward, this service can expose a private interface meaning we
can get rid of (almost) all of our setgid helpers.

move authdb write functions to libpolkit-grant

This is primarily to keep libpolkit as minimal as possible as all that
mechanisms will ever need is the ability to read from the authdb.

rearrange the docs so all API is in one section

Also specificy, per function and class, if it's not in libpolkit.

use _destroy, not _unref for hash tables

The latter is only in glib 2.10.

Pointed out by Danny Kukawka <danny.kukawka@web.de>.

fix uid retrival when getting auths from all users

fix docs

fix build with dummy backend

let authdb backends synthesize policy file entries

minor build system and doc fixes

move Linux specific code into a single file

Haven't moved the inotify stuff yet; not sure about what abstraction
we need...

move all private functions into a private header file

make the authdb pluggable and add a dummy backend as an example

rewrite authorization database and polkit-grant (now known as polkit-auth)

Also,

 - Rename polkit-list-actions to polkit-action.
 - Add a bash completion script to the polkit commandline tools.

Authorizations are no longer world-readable. So for this to work with
hal you now need to do this as root

 # polkit-auth --user haldaemon --grant org.freedesktop.policykit.read

Distributions needs to do this in the %post scripts or similar.

Sorry for this huge monster patch.

remember to set uid on PolKitSession

move POLKIT_GNUC_DEPRECATED to a separate line so gtk-doc is happy

Also document this symbol

create an API for interfacing with the Authorization Database

This is necessary to make UI like this

 http://people.freedesktop.org/~david/Screenshot-Manage%20Authorizations.png

export some useful actions such as granting, revoking and displaying
authorizations.

Previously this API was internal, polkit/polkit-grant-database.[ch],
and linked into polkit-grant(1) and libpolkit-grant(3) through a
static library libpolkit-private.so.

Only polkit-grant have not been ported; libpolkit-grant(3) uses this
API natively now. Internally, right now, the new API just uses
polkit-grant-database.[ch] directly but that is about to change...

add docs for POLKIT_[BEGIN|END]_DECLS and also add POLKIT_GNUC_DEPRECATED

use the Since: tag so gtk-doc can print what symbols are new in 0.7

work on the docs

Now we have diagrams! With happy candy colors too!

don't spew debug output in libpolkit-dbus

avoid including regex.h from a public header file

add C++ include guards and a new method to get pfe's by annotation

add support to PolKitTracker for also asking on pid

post-release version bump

Better late than never!

add id's so the generated HTML has stable and predictable file names

add the convenience class PolKitTracker

This class allows a mechanism to greatly reduce the syscall and IPC
overhead when checking whether a caller on the system bus message is
allowed to do a specific action. In a nutshell, this class caches
PolKitCaller objects and a) updates them when ConsoleKit emits
ActivityChanged signals; and b) evicts such objects from the cache
when the caller drops off the bus.

There's also an example, in examples/tracker-example/ that shows how
to use this. This example is referenced in the API docs too.

update NEWS

make polkit-list-actions print information about <allow_any>

don't fail on unknown XML tags, just skip them

This change will futureproof libpolkit for extensions; e.g. if there's
an OS upgrade where

 a) the PolicyKit package is upgraded to a version where support for a
    new tag <allow_foo> is added; and

 b) another package, using PolicyKit, is upgraded dropping a .policy
    file using the new <allow_foo> tag; then

existing running processes using libpolkit will not fail. They will,
however, not honor the new tags until the daemon process itself is
restarted using e.g. condrestart.

We also log to the system logger whenever we encouter unknown tags.

implement <allow_any> to specify default answer for any user

This is useful in instances where the OS vendor wants to allow any
user, even remote users logging in via ssh etc., but recognize that
some sites may want to lock this down to a limited set of users.

Suggested by Daniel P. Berrange <berrange@redhat.com>:

<danpb>  my specific use case is that in libvirt we don't mind any user
         querying for VM status info by default
<danpb>  but some admins may wish to lock that ability down
<danpb>  so only designated users can query VM status
<davidz> right
<davidz> it makes sense
<davidz> without having giving it too much thought; adding another stanza to
         the .policy file might make sense
<davidz> <allow_non_session>yes</allow_non_session>
<davidz> danpb: would that work?
<danpb>  yeah, that'd do the trick
<davidz> cool
<davidz> I'll add it then

add TODO item detailing how to handle upgrades

add specifics for the Pardus distro

Patch from S.Çağlar Onur <caglar@pardus.org.tr>. Thanks.

use chgrp instead of chown with group only

Change to use chgrp instead of chown when only changing a group

install hook for setuid/setgid

Current installation uses a local rule which isn't guarenteed to be run
after the automake'd rule, as such it will not always setuid/setgid properly.
This patch switches that to a hook which is guarenteed to run afterwards.

gentoo OS type support

Adds Gentoo as a valid OS type

post-release version bump

update NEWS file

bump so name

fix 'make distcheck' by avoiding with man pages on distcheck

make polkit-grant-helper-pam out of reach for normal users

Adds a little bit of more security..

add an example of how define_admin_auth is used

Based on input from Ken VanDine

http://lists.freedesktop.org/archives/hal/2007-August/009402.html

minor doc changes

also forgot to add polkit-docs.xml

also add another missing file

forgot to add doc/version.xml.in

make config file override grant database

Even though a caller may have an entry in the grant database (and as
such will see POLKIT_RESULT_YES), change the behavior such that this
is no longer honored unless the config file specifies the result
POLKIT_RESULT_ONLY_VIA_[SELF|ADMIN]_AUTH_{,KEEP_SESSION|KEEP_ALWAYS}.

E.g. this allows the sysadmin to specify things like POLKIT_RESULT_NO
in the config file and that will now make existing grants
useless. This behavior is a lot more natural.

some more doc fixes

update inline API docs

fix up manual pages for some trivial errors

revert "fixed code documentation issues"

This commit is wrong as the docs are not properly formatted with this
change. This reverts commit 0d69cdc59f51fda93c857171b69ac8f3fe46b745.

clean up our documentation

 - Put all three libraries in the same gtk-doc project
 - Include the spec in the gtk-doc project
 - Include the manual pages in the gtk-doc project

convert manual page sources to Docbook, add polkit-config-file-validate tool

Also drop the polkit-check-caller and polkit-check-session tools;
they're not really useful in their current incarnation.

delay loading the configuration until it's needed

This is especially good for saving CPU cycles as we may get a number
events from inotify and previously we kept reloading/parsing the
configuration file on every event.

Merge branch 'master' of ssh://david@git.freedesktop.org/git/PolicyKit

give a little love to polkit-list-actions(1) and polkit-grant(1)

In addition polkit-grant(1) gained a few new features

 --list          : for listing all grants
 --delete <user> : for deleting all grants given to an user

fixed compiler warning about uid_t handling

This fixes the same problem with uid_t as we had with HAL some time ago
on 64bit architectures in PolicyKit. This time I removed the useless check:

   uid == ((unsigned long) -1)

because this is always false on 64bit (comparison is always false due to
limited range of data type) and because the DBusError from the
dbus_bus_get_unix_user() call is set if the function returns DBUS_UID_UNSET
so we need only to check if the error is set.

fixed code documentation issues

Fixed code documentation issues:
 * s/<programlisting>/@code/
 * removed @void: from polkit_grant_new()

add support for annotations

work when SELinux is disabled

I've compiled with selinux and have it turned off. The attached patch
stops the warnings for me.

Richard.

gracefully handle bad config/policy files, drop polkit-reload-config, syslog

 - don't abort/malfunction if the /etc/PolicyKit/PolicyKit.conf
   configuration file is malformed; simply just continue as normal
   but return 'no' to every question asked. Also use syslog(3) to
   report this to the system log

 - if a .policy file is malformed, simply skip it and still include
   other well-formed .policy files. Use syslog(3) to report if indeed
   a .policy file is malformed.

 - drop /var/lib/PolicyKit/reload and rely on inotify to detect changes to
   - /etc/PolicyKit/PolicyKit.conf
   - Policy files in /usr/share/PolicyKit/policy
   - privileges in /var/lib/PolicyKit and /var/run/PolicyKit

As a result, changes made to /etc/PolicyKit/PolicyKit.conf (typically
an admin edits this file) and .policy files (typically these can
change on package upgrades) in /usr/share/PolicyKit/policy are
instantly picked up.

avoid the now defunct group concept in polkit-list-actions

minor doc cleanups

rip out group concept from .policy files and rename <policy> element to <action>

make libpolkit-grant less noisy

make polkit-grant(1) work with <define_admin_user /> feature

handle the case where we don't load descriptions

properly support i18n'ed messages from .policy files

Ugh, I'm not sure if there's a smarter way of dealing with xml:lang
when using expat (google searches for this suggests no) but the way I
fixed this is surely a bitch.

export PolKitConfig and provide a <define_admin_auth/> config file directive

Also change the libpolkit-grant API a bit to work with these changes.

when granting privileges, touch the /var/lib/PolicyKit/reload file

This means that all libpolkit-using processes should recieve a
config_changed() callback whenever privileges are granted.

Remember to update your RPM spec files etc. such that group polkituser
(or equiv.) is permitted to write to the reload file.

make the /var/lib/PolicyKit/reload writable for group polkituser

use correct type for conversation_done() function

fix proposed by Danny Kukawka <danny.kukawka@web.de>

post-release version number bump

provide a high-level interaction diagram of how this works

use waitpid() to avoid Zombie processes

put back isatty() checks when calling user is not uid 0

remove the isatty() call so it's easier to audit the helper

The isatty() check is just to catch users poking around; it provides little or no real security. With this change, you can do stuff like

$ /usr/libexec/polkit-grant-helper-pam
davidz
PAM_PROMPT_ECHO_OFF Password:
<enter real password here>
SUCCESS

$ /usr/libexec/polkit-grant-helper-pam
davidz
PAM_PROMPT_ECHO_OFF Password:
not_my_password
polkit-grant-helper-pam: pam_authenticated failed: Authentication failure
FAILURE

which is useful for auditing.

move PAM stack usage to separate helper

So it turns out that I hadn't been using shadow passwords on my other
development box (don't ask) and that's why auth as root worked fine
when just running as an unprivileged user. However, to auth as another
user (such as root), the process embedding pam needs to run as
root. Therefore, split out the actual authentication bits into a small
and easy to audit helper, polkit-grant-helper-pam.

The auth now goes like this:

 polkit-gnome <-links with-> libpolkit-grant
                                   ^
                                   |
                                spawns
                                   |
                                   V
                     /usr/libexec/polkit-grant-helper
                                   ^
                                   |
                                spawns
                                   |
                                   V
                   /usr/libexec/polkit-grant-helper-pam

where

 polkit-grant-helper
    is setgid polkit; it links with libdbus and libpolkit.

 polkit-grant-helper-pam
    is setuid root; it links only with libpam

added missing files to git repo

Added missing files from PolicyKit 0.4 release package to the
git repo: data/PolicyKit.conf.in, data/config.dtd

actually reload config and policy files when they change

update NEWS

for PolKitContext, mention that a mechanism need to provide .policy files

fix up proper naming of some methods on the PolKitPolicyFileEntry class

fix docs

require that policy files also provide a <message> element

Declaring an action now requires two textual elements (that both are
subject to translation):

 description: This is intended to be used in policy editors, for
              example "Mount internal volumes".
 message:     This is to be used in auth dialogs, for example "System
              Policy prevents mounting this internal volume".

This is actually needed for security reasons. The idea is that the
desktop environment can provide infrastructure that Callers
(e.g. applications) can use to ask the user to authenticate to gain a
privilege. One such example is PolicyKit-gnome; it's a D-Bus session
based service that applications can use to ask the user to
auth.

Before this change the caller provided the markup, e.g. gnome-mount
would do

 action = "hal-storage-mount-fixed";
 markup = _("System policy prevents mounting internal drives");
 result = org.gnome.PolicyKit.ShowDialog (action, markup);

and the problem here is that any application in the session can spoof
the dialog by providing false information and getting to use to click
through on that.

With this change, where the org.gnome.PolicyKit auth service reads the
message from a system-controlled file, this can't happen. What the
user sees really reflects the action he's asking to consider allowing
to happen.

Especially with things like XACE (previously known as SEX) this is
important as we can make the process providing the D-Bus service
org.gnome.PolicyKit run in a dedicated security context, audit it to
make sure it's secure. Then have the window manager paint trust window
decorations or other things to make the user feel fuzzy, warm and
safe.

Btw, with this change the PolicyKit-gnome API will be simplified to

 action = "hal-storage-mount-fixed";
 result = org.gnome.PolicyKit.ShowDialog (action);

which is just about as simple as it can get.

Credit goes to Ryan Lortie <desrt@desrt.ca> for pointing this out
on #gnome-hackers earlier this morning.

fix typo

change default username

- change user from 'polkit' to 'polkituser'
- create directories in /var from polkit instead of polkit-grant

fix up some of the docs

remove RESULT_NOT_AUTHORIZED_TO_KNOW and s/RESULT_UNKNOWN_ACTION/RESULT_UNKNOWN/