Debian 12 - Polkit refuse le mot de passe root (correct) que je lui donne

[Nashento]

Bonjour tout le monde :)

Je viens vers vous car je rencontre actuellement une difficulté sur ma debian 12. J'ai beau chercher sur des forums, je n'arrive pas à comprendre d'où vient mon problème et comment le résoudre.

Le problème :
Polkit me demande un mot de passe pour certaines applications nécessitant des privilèges. Logique. Il s'agit notamment de Synaptic ou encore lorsque je veux monter des disques via Dolphin. Mais il refuse le mot de passe root que je lui donne. J'ai même essayé avec le mot de passe de mon compte utilisateur standard et rien non plus.
Ce problème m'est arrivé bizarrement après une MAJ du système que j'ai faite il y a quelques semaines via Discover. Avant cette MAJ, aucun soucis.

Je précise que je peux accéder au compte root via le shell.

Je suis allé voir les règles de Polkit dans /usr/share/polkit-1/actions# histoire de comprendre comment les règles fonctionnaient et voir s'il y avait un soucis en particulier. Je n'ai rien trouvé. Le bon point : j'ai bien mieux compris comment se comportait polkit en fonction des applications et comment modifier ces comportements là => intéressant.

J'ai voulu aussi désinstaller polkit via apt pour refaire une installation de 0 mais quand j'ai vu que ça allait supprimer aussi kde-desktop, j'ai pris peur (peut-être une fausse peur ?) et j'ai annulé.

J'en suis donc ici :/

Ce que je me demande : est-ce que le "lien" entre polkit et l'accès root peut être cassé ? Si vous voyez ce que je veux dire.

Merci à tous ceux et toutes celles qui prendront le temps de m'aider :)

[piratebab]

tu peux essayer l'option réinstall d'apt.
Sinon, autre causes classiques:
- clavier pas en azerty
- sensibilité à la casse (MAJ/min)

[Nashento]

Tout d'abord merci de m'avoir répondu :)

Alors pour ce qui est de la casse et du clavier en qwerty, c'est le premier truc que j'ai vérifié ;)

J'ai lancé apt avec l'option reinstall comme ceci :
sudo apt install --reinstall polkit-kde-agent-1 pkexec policykit-1 polkitd polkit-pkla

-> histoire de tout remettre à 0 les paquets qui concernent polkit. Et aucun changement malheureusement. Une autre idée ?

[piratebab]

je ne connais pas bien polkit. En cherchant un peu, je suis tombé sur des fichiers de conf dans:
/usr/share/polkit-1/actions

Par exemple pour synaptic qui s'utilise en root, j'ai une ligne <allow_any>auth_admin<allow_any>
et une autre
<allow_active>auth_admin<allow_active>

Est ce que tu as ça aussi ?

[Nashento]

Oui j'ai bien ça aussi. C'est d'ailleurs ce qui me surprends encore plus !

Mon fichier de conf polkit pour synaptic :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
"-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
"http://www.freedesktop.org/standards/Po ... config.dtd">
<policyconfig>

<action id="com.ubuntu.pkexec.synaptic">
<message>Authentication is required to run the Synaptic Package Manager</message>
<message xml:lang="ar">الاستيثاق مطلوب لتشغيل مدير الحزم التشابكي</message>
<message xml:lang="bg">Нужно е да се идентифицирате, преди да стартирате пакетния мениджър</message>
<message xml:lang="br">Dilesa azgoulennet evit erounit an ardoer pakadoù synaptic</message>
<message xml:lang="bs">Za pokretanje programa Synaptic Package Manager potrebna je autentifikacija</message>
<message xml:lang="ca@valencia">Es requereix autenticació per a executar el gestor de paquets Synaptic</message>
<message xml:lang="cs">Pro běh Správce balíčků Synaptic je vyžadováno ověření</message>
<message xml:lang="de">Um die Synaptic-Paketverwaltung zu benutzen, ist eine Legitimation notwendig</message>
<message xml:lang="en_AU">Authentication is required to run the Synaptic Package Manager</message>
<message xml:lang="en_GB">Authentication is required to run the Synaptic Package Manager</message>
<message xml:lang="eo">Aŭtentigo estas postulata por ruli la pakaĵmastrumilon Sinaptiko</message>
<message xml:lang="es">Para ejecutar el gestor de paquetes Synaptic necesita autenticarse</message>
<message xml:lang="et">Autentimine on vajalik paketihalduri Synaptic käivitamiseks</message>
<message xml:lang="fi">Synaptic-pakettihallinnan käynnistäminen vaatii tunnistautumisen</message>
<message xml:lang="fr">Une authentification est requise pour exécuter le gestionnaire de paquets Synaptic</message>
<message xml:lang="gl">Para executar o xestor de paquetes Synaptic necesita autenticarse</message>
<message xml:lang="he">נדרש אימות כדי להריץ את מנהל החבילות Synaptic</message>
<message xml:lang="hr">Potrebna je ovjera za pokretanje Synaptic upravitelja paketima</message>
<message xml:lang="hu">Hitelesítés szükséges a Synaptic csomagkezelő futtatásához</message>
<message xml:lang="it">È richiesta l'autenticazione per avviare il gestore di pacchetti Synaptic</message>
<message xml:lang="ms">Pengesahihan diperlukan untuk menjalankan Pengurus Pakej Synaptic</message>
<message xml:lang="nl">Voer uw wachtwoord in om Synaptic-pakketbeheer te openen</message>
<message xml:lang="pl">W celu uruchomienia programu Synaptic Package Manager wymagane jest dodatkowe uwierzytelnianie</message>
<message xml:lang="pt_BR">Autenticação é exigida para executar o Gerenciador de Pacotes Synaptic</message>
<message xml:lang="ro">Este necesară autentificarea pentru a rula administratorul de pachete Synaptic.</message>
<message xml:lang="ru">Для запуска менеджера пакетов Synaptic требуется аутентификация</message>
<message xml:lang="sk">Spustenie správcu balíkov Synaptiuc vyžaduje overenie totožnosti</message>
<message xml:lang="sl">Za zagon upravljalnika paketov Synaptic je zahtevana skrbniška overitev.</message>
<message xml:lang="sr">Потребно је потврђивање идентитета за покретање Синаптика упраника пакета</message>
<message xml:lang="sv">Autentisering krävs för att köra Synaptic pakethanterare</message>
<message xml:lang="te">సినాప్టిక్ ప్యాకేజీ నిర్వాహకం నడుపుటకు ధృవీకరణ అవసరం</message>
<message xml:lang="tr">Synaptic Paket Yöneticisi'ni çalıştırmak için yetkilendirme gerekiyor</message>
<message xml:lang="zh_CN">运行新立得软件包管理器需要认证</message>
<message xml:lang="zh_HK">執行 Synaptic 套件管理員前要先認證</message>
<message xml:lang="zh_TW">需要驗證以執行Synaptic 套件管理程式</message>
<icon_name>synaptic</icon_name>
<defaults>
<allow_any>auth_admin</allow_any>
<allow_inactive>auth_admin</allow_inactive>
<allow_active>auth_admin</allow_active>
</defaults>
<annotate key="org.freedesktop.policykit.exec.path">/usr/sbin/synaptic</annotate>
<annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
</action>

</policyconfig>

[piratebab]

J'espère qu'un autre membre pourra t'aider, je ne connais pas assez cette partie de de debian pour t'aider.

[Nashento]

Ce n'est pas grave, pas de problème ;) Je te remercie tout de même pour ton temps :) Je vais voir si d'autres personnes se manifestent.

J'ai une question mais qui dérive un peu du sujet :

Si par exemple je veux enlever polkit, ça m'enlève aussi kde desktop. Si je fais ça, est-ce que mes applis en mode graphique restent ? Et je n'ai qu'à par la suite réinstaller kde desktop et hop tout redevient normal ?

[piratebab]

Il faudrait voir la chaine de dépendance de kde-desktop.
En premier niveau, il ne dépend pas de policykit
https://packages.debian.org/buster/kde-plasma-desktop
Mais si tu descend plus en profondeur, tu trouveras des dépendances
apt-rdepends kde-plasma-desktop | grep kit

[Nashento]

Ok je vais regarder ça de plus près. En tout cas merci pour ton temps ;)

[Nashento]

Je sais que mon post date d'un moment mais je tenais à mettre à jour la situation (au cas où quelqu'un...).
J'ai un deuxième utilisateur sur mon PC : user_test
Par pur hasard j'ai remarqué que si je rentrai le mot de passe de user_test lorsque polkit me le demandais pour Synaptic : ça marche (?!) J'ai quand même vérifié les mots de passe de mes deux utilisateurs, j'ai même changé celui de user_test histoire d'être sûr... Je me suis renseigné sur les balises "allow_active" etc mais je n'ai pas avancé plus que ça...
Incompréhensible...

Voilà, c'est tout ;)

[piratebab]

merci de nous tenir au courant

[zargos]

Polkit permet d'avoir un niveau d'utilisation administrateur pour un user pou rune application.
C'est déterminé par les politiques des fichiers de conf de polkit (pas facile à faire soit-même d'ailleurs).

il est à noter que ceux-ci sont impacté par AppArmor.
Si l'application concernée est en mode enforce, ça ne marche pas. Au maximum il faut être en complain au max (j'ai été confronté au problème déjà).

[Nashento]

il est à noter que ceux-ci sont impacté par AppArmor.
Si l'application concernée est en mode enforce, ça ne marche pas. Au maximum il faut être en complain au max (j'ai été confronté au problème déjà).

Merci pour ces infos supplémentaires ! :)
Mais j'avoue ne pas vraiment avoir compris. Puis-je faire quelque chose avec AppArmor en terme de config ?

[zargos]

normalement dans les logs tu devrait avoir quelque chose.
Si tu fait u ne recherche sur le nom de l'applciation (du processus bien sur).
aa-status te donnera le status des profiles d'apparmor.
Par exemple sur machine chez moi:

Code : Tout sélectionner

# aa-status
apparmor module is loaded.
26 profiles are loaded.
24 profiles are in enforce mode.
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince//sanitized_helper
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session
   /usr/lib/x86_64-linux-gnu/lightdm/lightdm-guest-session//chromium
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/cupsd//third_party
   /{,usr/}sbin/dhclient
   libreoffice-senddoc
   libreoffice-soffice//gpg
   libreoffice-xpdfimport
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
2 profiles are in complain mode.
   libreoffice-oosplash
   libreoffice-soffice
0 profiles are in kill mode.
0 profiles are in unconfined mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/cups-browsed (4095) 
   /usr/sbin/cupsd (3698) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
0 processes are in mixed mode.
0 processes are in kill mode.

[Nashento]

Mieux vaut tard que jamais pour ma réponse...
Je vais voir de ce côté là et puis si je ne trouve pas d'explication => tant pis ^^ Merci encore ;)