pamacがsudoers confをバイパスするのはなぜですか?

pamacがsudoers confをバイパスするのはなぜですか?

私はアーチベースのManjaro Linuxを使用しています。

/etc/sudoers

Defaults rootpw
Defaults:%wheel rootpw
%wheel  ALL=(ALL) ALL

この構成がどのように機能するかをすばやく説明するには、ユーザーに権限がない場合は、ルートパスワードを入力するように求められます。

ユーザー

ユーザー グループ
ホイール/スード
テストユーザー まったく

pamac私のsudoers設定に従わない以外はすべてうまくいきます。

pamac install pipユーザーとして実行する場合

  • lunarixパスワードを入力すると、testuserはroot権限を受け入れます。
  • lunarixパスワードを入力すると、lunarixはrootアクセスを許可します。

インストールされるとpip、すべてのユーザーに対してグローバルにインストールされます。

走るsudo -l

テストユーザー
Matching Defaults entries for testuser on host:
    insults, rootpw, rootpw

User testuser may run the following commands on host:
    (ALL) ALL
Matching Defaults entries for lunarix on host:
    insults, rootpw, rootpw, rootpw

User lunarix may run the following commands on host:
    (ALL) ALL
    (ALL) ALL

これが許される理由は何ですかpamac

編集する

システムログ
Sep 17 06:43:44 masterbook polkitd[560]: Operator of unix-session:2 successfully authenticated as unix-user:lunarix to gain TEMPORARY authorization for action org.manjaro.pamac.commit for system-bus-name::1.570 [pamac install python-pip] (owned by unix-user:testuser)
Sep 17 06:43:44 masterbook audit[213804]: USER_ACCT pid=213804 uid=1000 auid=1000 ses=2 subj==unconfined msg='op=PAM:accounting grantors=pam_unix,pam_permit,pam_time acct="lunarix" exe="/usr/lib/polkit-1/polkit-agent-helper-1" hostname=? addr=? terminal=? res=success

@muruの調査と支援を受けた後、polkitdが以下を使用していることを確認しました。ポリアクリルアミド認証します。幅広い経験を持つ誰かがこのタイプの設定の設定手順やベストプラクティスを提供できる場合に備えて、このスレッドを開いておきます。

関連情報