Create rules.d directories

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add test-cases and 10 second timeout for polkit.spawn()

Signed-off-by: David Zeuthen <davidz@redhat.com>

Mention unix-netgroup:xyz as a valid return value in addAdminRule() functions

Signed-off-by: David Zeuthen <davidz@redhat.com>

Minor doc fixes

Nuke the has_prefix() helper, it's just confusing.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add netgroup support

Signed-off-by: David Zeuthen <davidz@redhat.com>

Test that subject.isInGroup() works

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add test cases for evaluation order

In fact, this test uncovered that we were evaluating the rules in the
wrong order. Fix this.

Signed-off-by: David Zeuthen <davidz@redhat.com>

docs: emphasize that registered functions may actually never be called

Signed-off-by: David Zeuthen <davidz@redhat.com>

Use addRule() and addAdminRule()

... as the man page already says.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Also load rules from /usr/share/polkit/rules.d

... in addition to /etc/polkit/rules.d.

Signed-off-by: David Zeuthen <davidz@redhat.com>

docs: clarify how rules files work

After feedback from Matthias Clasen <mclasen@redhat.com>.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Also add an example of polkit.spawn() to polkit(8) man page

Signed-off-by: David Zeuthen <davidz@redhat.com>

docs: add AUTHORIZATION RULES section to the polkit(8) man page

Signed-off-by: David Zeuthen <davidz@redhat.com>

Don't include command-line in spawning error messages

We don't even know it and it's not worth reconstructing it.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Make polkit.spawn() take an array of arguments instead of a command-line

Much safer and easier this way.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add polkit.spawn() to spawn external programs

... and also add polkit.quote() for quoting arguments when
constructing the command-line.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Make it possible for JS code to change details

For example, to set the authentication message, a JS function can
simply do

 details["polkit.message"] = "Hey dude, XYZ, I need your password";

This can also be used to pass data back to the mechanism.

To make this work properly, we also introduce a slight change: the
a{ss} passed back to the mechanism (part of the AuthorizationResult
structure) will be initialized with the a{ss} the app passed itself in
the CheckAuthorization() call.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Reformat init.js and also avoid quoting non-string properties in toString()

Otherwise it's hard to tell whether 'true' is a string or a boolean...

Signed-off-by: David Zeuthen <davidz@redhat.com>

Emit ::Changed signal after reloading rules

Signed-off-by: David Zeuthen <davidz@redhat.com>

Collect garbage

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add a couple of more error checks

Signed-off-by: David Zeuthen <davidz@redhat.com>

Clean up code a bit

Also, move init code into init.js instead of using a C string for
it...

Signed-off-by: David Zeuthen <davidz@redhat.com>

Pass details to JS functions and simplify how Subject instances are constructed

Signed-off-by: David Zeuthen <davidz@redhat.com>

Include seat and session in Subject object

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add experimental authority backend using JavaScript rule files

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.106

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add Makefile rules for signing and publishing releases and docs

Also mention in README how the authenticity of releases can be
verified.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update the docs to use 'polkit' (instead of 'PolicyKit') as the name

... as much as possible.

Also remove the license on the docs and the FSF's address.

Also point to http://www.freedesktop.org/software/polkit/docs/latest/
as that is going to be where docs are stored, going forward.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Mention pkttyagent(1) in "Writing PolicyKit applications" chapter

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix type in docs

It's RegisterAuthenticationAgentWithOptions, not just
RegisterAuthenticationAgent.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Make it possible to influence agent registration with an a{sv} parameter

Additionally, add a "fallback" option. Also add support in this in the
pkttyagent(1) program.

This slightly breaks libpolkit-backend API by adding a GVariant* param
to one of the class vfuncs... but that API is already declared
unstable so that's fine.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add pkttyagent(1) helper

This came up while working on

 https://bugzilla.redhat.com/show_bug.cgi?id=804088

and is useful for example if it's not suitable or appropriate to link
against the polkit libraries.

Signed-off-by: David Zeuthen <davidz@redhat.com>

PolkitAgentSession: Don't leak file descriptors

This was reported here

 https://bugzilla.gnome.org/show_bug.cgi?id=671486

Signed-off-by: David Zeuthen <davidz@redhat.com>

PolkitUnixSession: Actually return TRUE if a session exists

Also, don't treat the integer returned by sd_session_get_uid() as a
boolean because that's just confusing.

Signed-off-by: David Zeuthen <davidz@redhat.com>

PolkitUnixSession: Set error if we cannot find a session for the given pid

Also, don't treat the integer returned by sd_pid_get_session() as a
boolean because that's just confusing. Also, don't confuse memory
supposed to be freed by g_free() and free(3) with each other. See

 https://bugzilla.redhat.com/show_bug.cgi?id=787222

for more details.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Various builddir != srcdir fixes

Fix autogen.sh to work when run from the builddir.

Also: switch over to using the gobject-introspection Makefile (which is
out-of-tree safe) instead of hardcoding our own version.

https://bugs.freedesktop.org/show_bug.cgi?id=44599

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Detect whether systemd is available and default to use if so

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add optional systemd support

When configured with --enable-systemd, this patch makes
polkit use systemd for session tracking instead of ConsoleKit.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 43610 - Add netgroup support

https://bugs.freedesktop.org/show_bug.cgi?id=43610

Added netgroup support and additional unit tests with MockLibc support.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 43608 – Add unit tests

https://bugs.freedesktop.org/show_bug.cgi?id=43608

Basic unittest support and a few tests. Adds basic unit tests for:

PolkitIdentity, PolkitUnixUser, PolkitUnixGroup,
PolkitBackendLocalAuthorizationStore, and PolkitBackendLocalAuthority.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.104

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix typo

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Default to AdminIdentities=unix-group:wheel for local authority

Signed-off-by: David Zeuthen <davidz@redhat.com>

Mistype in DBus object: PoliycKit1 -> PolicyKit1

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 41025 – Add org.freedesktop.policykit.owner annotation

This allows daemons running as a designated uid to check
authorizations. Based on a patch from Christopher James Halse Rogers
<chalserogers@gmail.com>.

https://bugs.freedesktop.org/show_bug.cgi?id=41025

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add --no-debug option and use this for D-Bus activation

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add support for the org.freedesktop.policykit.imply annotation

For example, GNOME control center can now defined e.g.

  <action id="org.zee.example.meta">
    <description>Meta Action</description>
    <message>Example of a meta action, blabla</message>
    <defaults>
      <allow_any>no</allow_any>
      <allow_inactive>no</allow_inactive>
      <allow_active>auth_admin_keep</allow_active>
    </defaults>
    <annotate key="org.freedesktop.policykit.imply">org.freedesktop.udisks2.ata-smart-selftest org.freedesktop.udisks2.encrypted-lock-others org.freedesktop.udisks2.filesystem-unmount-others</annotate>
  </action>

and set up a single GtkLockButton for a PolkitPermission for action id
"org.zee.example.meta".

When unlocked the given subject will now be authorized for the actions
mentioned in the annotation.

Example test program:

int
main (int argc, char *argv[])
{
  PolkitSubject *subject;
  GtkWidget *window;
  GtkWidget *table;
  GMainLoop *loop;
  guint n;

  gtk_init (&argc, &argv);

  subject = polkit_unix_process_new (getpid ());

  window = gtk_window_new (GTK_WINDOW_TOPLEVEL);

  table = gtk_table_new (1, 2, FALSE);
  for (n = 1; n < argc; n++)
    {
      const gchar *action_id = argv[n];
      GPermission *permission;
      GtkWidget *label;
      GtkWidget *lock_button;
      GError *error = NULL;

      label = gtk_label_new (action_id);

      permission = polkit_permission_new_sync (action_id, subject, NULL, &error);
      if (permission == NULL)
        {
          g_error ("Error constructing permission for action_id %s: %s (%s, %d)",
                   action_id, error->message, g_quark_to_string (error->domain), error->code);
          goto out;
        }
      lock_button = gtk_lock_button_new (permission);
      g_object_unref (permission);

      gtk_table_attach (GTK_TABLE (table), label,       0, 1, n - 1, n, GTK_FILL, GTK_FILL, 0, 0);
      gtk_table_attach (GTK_TABLE (table), lock_button, 1, 2, n - 1, n, GTK_FILL, GTK_FILL, 0, 0);
    }
  gtk_container_add (GTK_CONTAINER (window), table);

  gtk_widget_show_all (window);

  loop = g_main_loop_new (NULL, FALSE);
  g_main_loop_run (loop);

 out:
  ;
}

Compile with:

 gcc -o showpolkit showpolkit.c `pkg-config --cflags --libs polkit-gobject-1 gtk+-3.0` -g -O0

Run with:

 ./showpolkit org.freedesktop.udisks2.ata-smart-selftest org.freedesktop.udisks2.encrypted-lock-others org.freedesktop.udisks2.filesystem-unmount-others org.zee.example.meta

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.103

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix multi-line pam prompt handling

Some pam modules may attempt to display multi-line prompts to the
user. In these cases, PolicyKit was failing. This patch fixes the
issue by escaping the prompt before passing it and unescaping it
again.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Specify exported pkg-config files in GIRs

https://bugs.freedesktop.org/show_bug.cgi?id=39315

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 38769 — pkexec: Support running X11 apps

Introduce a new annotation flag "org.freedesktop.policykit.exec.allow_gui"
which will cause pkexec to preserve $DISPLAY and $XAUTHORITY. With this, the
remaining few legacy X11 programs which still need to run as root can finally
be migrated away from gksu (or similar) to pkexec, with the help of some
.polkit files. This will provide a consistent UI and also help with making the
authentication dialogs less spoofable.

Relax validate_environment_variable() to allow '/' in $XAUTHORITY, as this
variable actually is a full path.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix backend crash if a .policy file does not specify <message>

get_localized_data_for_challenge() would call expand_properties() with a NULL
"message" argument, causing a segfault.

Ignore .po/ for intltool

This avoids build failures if quilt patches change files with translatable
strings.

https://bugs.freedesktop.org/show_bug.cgi?id=36415

pkexec: Avoid TOCTTOU problems with parent process

In a nutshell, the parent process may change its uid (either real- or
effective uid) after launching pkexec. It can do this by exec()'ing
e.g. a setuid root program.

To avoid this problem, just use the uid the parent process had when it
executed pkexec. This happens to be the same uid of the pkexec process
itself.

Additionally, remove some dubious code that allowed pkexec to continue
when the parent process died as there is no reason to support
something like that. Also ensure that the pkexec process is killed if
the parent process dies.

This problem was pointed out by Neel Mehta <nmehta@google.com>.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Use polkit_unix_process_get_uid() to get the owner of a process

This avoids a TOCTTOU problem.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Make PolkitUnixProcess also record the uid of the process

This is needed to avoid possible TOCTTOU issues since a process can
change both its real uid and effective uid.

Signed-off-by: David Zeuthen <davidz@redhat.com>

PolkitUnixProcess: Clarify that the real uid is returned, not the effective one

On Linux, also switch to parsing /proc/<pid>/status instead of relying
on the st_uid returned by stat(2) to be the uid we want.

This was pointed out by Neel Mehta <nmehta@google.com>. Thanks!

Signed-off-by: David Zeuthen <davidz@redhat.com>

Don't show diagnostic messages intended for the administrator to the end user

See https://bugzilla.gnome.org/show_bug.cgi?id=644737#c6 for discussion.

Signed-off-by: David Zeuthen <davidz@redhat.com>

introspection: Add --c-include to the gir files

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.102

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Build examples by default and fix compiler warnings

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix a couple of warnings triggered by gcc 4.6

Signed-off-by: David Zeuthen <davidz@redhat.com>

Deprecated PolkitBackendActionLookup

Instead, pass the untranslated message as polkit.message and set the
gettext domain on polkit.gettext_domain. For printf()-style messages,
occurences of the form $(name_of_key) in the translated version of
polkit.message are expanded with the value of the property
name_of_key. See the pkexec(1) mechanism for an example of how to use
this.

Additionally, the property polkit.icon_name can be set to the
icon. Note that not all authentication agents use this - in
particular, gnome-shell does not.

It is no longer possible to set the details to be shown in the
authentication dialog. It was never a good idea to hide information
there anyway. Instead, the mechanism should format a meaningful
message.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Allow overriding message shown in authentication dialog

This is much easier than writing a PolkitBackendActionLookup class and
installing an extension. On the downside it requires the caller to be
uid 0.

Example: http://people.freedesktop.org/~david/polkit-pass-messages.png

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 29712 – Use monotonic for temporary authorizations

https://bugs.freedesktop.org/show_bug.cgi?id=29712

Signed-off-by: David Zeuthen <davidz@redhat.com>

Be a bit more careful parsing the command-line

In particular, avoid crashing for Zombies

Signed-off-by: David Zeuthen <davidz@redhat.com>

pkcheck: Make it possible to list and revoke temporary authorizations

Signed-off-by: David Zeuthen <davidz@redhat.com>

Make pkcheck(1) report if the authentication dialog was dismissed

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 27253 – Use GOBJECT_INTROSPECTION_CHECK from gobject-introspection

https://bugs.freedesktop.org/show_bug.cgi?id=27253

Signed-off-by: David Zeuthen <davidz@redhat.com>

Be more specific about what info we want when enumerating files

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix a memory leak

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 32334 – Always set polkit.retains_authorization_after_challenge

Otherwise it's impossible to implement lock buttons.

https://bugs.freedesktop.org/show_bug.cgi?id=32334

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 30438 – PolicyKit fails to build on AIX

https://bugs.freedesktop.org/show_bug.cgi?id=30438

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 29871 – Fix build failures with binutils-gold

Link polkit_agent_helper_1 against GLIB_LIBS.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 27081 – pkexec fails to build on non glibc systems

https://bugs.freedesktop.org/show_bug.cgi?id=27081

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 30653 – No way to detect cancellation in pkexec

https://bugs.freedesktop.org/show_bug.cgi?id=30653

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.101

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix 'make distcheck'

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Pass caller and subject pid to authentication agent

The authentication agent can use information this to inform the user
about the UI application that triggered the authentication request (if
any).

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add a note about POLKIT_DEBUG

Signed-off-by: David Zeuthen <davidz@redhat.com>

Always pass non-zero value to g_once_init_leave()

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix up debug and timeouts in agent helper

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add some debug info that can be shown with the env var POLKIT_DEBUG

Signed-off-by: David Zeuthen <davidz@redhat.com>

Improve error reporting for authentication sessions

In particular ensure that we show

 Incorrect permissions on /opt/gnome-shell/install/libexec/polkit-agent-helper-1

as a PAM error message if the permissions on the helper are incorrect
(e.g. if the helper is not setuid root).

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix-up PolkitAgentSession to use GObject properties

Signed-off-by: David Zeuthen <davidz@redhat.com>

Build gir/typelib for PolkitAgent-1.0

Signed-off-by: David Zeuthen <davidz@redhat.com>

Add missing GObject Introspection annotations

Signed-off-by: David Zeuthen <davidz@redhat.com>

Post-release version bump to 0.100

Signed-off-by: David Zeuthen <davidz@redhat.com>

Update NEWS for release

Signed-off-by: David Zeuthen <davidz@redhat.com>

Fix another GCC uninitialized variable warning

Fix (correct) GCC warning about possibly-uninitialized variable

Signed-off-by: David Zeuthen <davidz@redhat.com>

Remove duplicate definitions of enumeration types

These are defined in polkitenumtypes.h, don't re-define them.

Signed-off-by: David Zeuthen <davidz@redhat.com>

Bug 29816 – Install polkitagentenumtypes.h

https://bugs.freedesktop.org/show_bug.cgi?id=29816

Signed-off-by: David Zeuthen <davidz@redhat.com>