<div dir="ltr">Thank you again for your help, it is sincerely appreciated.<br><br>>> This file sets default policy. There could be other settings that<br>>> change it. E.g. I have in /etc/polkit-1/rules.d/90-default-privs.rules<br>>> check /etc/polkit-1/rules.d and /usr/share/polkit-1/rules.d<br><br>In PCLinuxOS, there is no /etc/polkit-1/rules.d or <br>/usr/share/polkit-1/rules.d directory; I don't know why,<br>I am not a developer or packager, just a user.<br><br>However, I snooped around and did find this file:<br><br>    /etc/polkit-1/localauthority/50-local.d/10-storage-group-mount-override.pkla<br><br>which has this contents:<br><br>##### BEGIN<br>[storage group mount override]<br>Identity=unix-group:polkituser<br>Action=org.freedesktop.udisks2.*<br>ResultAny=yes<br>ResultInactive=yes<br>ResultActive=yes<br>##### END<br><br>As you speculated, I believed this file is somehow overriding <br>the default policies in:<br><br>   /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy<br><br>So I went back and changed <br><br>    /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy<br><br>in the <action id="org.freedesktop.udisks2.filesystem-mount-system"> <br>section, and changed <br><br>    <allow_active>yes</allow_active><br>to    <allow_active>auth_admin</allow_active><br><br>Additionally, I removed <br><br>/etc/polkit-1/localauthority/50-local.d/10-storage-group-mount-override.pkla<br><br>I probably could have just deleted the ResultActive=yes line...<br><br>I rebooted, and just as you speculated, now when using the KDE device manager<br>to mount ROOT3, I am prompted for the root password, and then the filesystem<br>mounts.    However, even though the box titled "Remember authorization" is<br>selected, if I unmount ROOT3, and then use the KDE device notifier to <br>mount it again, I am again asked for the root password again.<br><br>Even if I could figure out why I am repeatedly asked for the root password,<br>more important to me is that that I have another entry in my <br>/etc/fstab that looks like this (also showing original ROOT3 line):<br><br>LABEL=HOME3    /mnt/HOME3    ext4 noauto,user,ro 1 2<br>LABEL=ROOT3    /mnt/ROOT3    ext4 noauto,nouser,ro 1 2<br><br>I do want any user to be able to mount HOME3 (user is set);<br>I do not want any user to able to mount ROOT3 (nouser is set);<br><br>I read up some more, and learned about the x-udisks-auth<br>option in /etc/fstab.   I changed my ROOT3 entry in /etc/fstab<br>to this:<br><br>LABEL=ROOT3    /mnt/ROOT3    ext4 noauto,nouser,ro,x-udisks-auth 1 2<br><br>and putzed around with the policy file again<br><br>In summary, I have:<br><br>-- removed /etc/polkit-1/localauthority/50-local.d/10-storage-group-mount-override.pkla<br><br>-- in /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy,<br>   inside the <action id="org.freedesktop.udisks2.filesystem-fstab"><br>   block, I changed<br><br>    <allow_active>yes</allow_active><br>to    <allow_active>auth_admin</allow_active><br><br>   (The prior changes I made to this file were undone; only this one<br>   line number 259 is different from the official PCLinuxOS release.<br><br>-- added x-udisks-auth to the ROOT3 entry in /etc/fstab<br><br>Right now, with these 3 changes, any regular user can mount<br>or unmount HOME3 (without root password), but that regular<br>user is prompted for the root password to mount or unmount<br>ROOT3.  That's exactly the behavior I want.   I'm not yet sure <br>what I may have unintentionally broken (for example, I have <br>not yet plugged in a portable USB drive), but I'm pretty happy<br>right now regardless.<br><br>Questions:<br><br>1. Is udisk supposed to ignore the "nouser" option in /etc/fstab and<br>   do whatever polkit tell it to?<br><br>2. It looks to me like whenever a filesystem has "nouser" set<br>   in /etc/fstab, "x-udisks-auth" should also be set since<br>   "/bin/mount" does not know about "x-udisks-auth", and <br>   "udisksctl mount" seems to ignore "nouser".  <br>   Additionally, "<allow_active>auth_admin</allow_active>" must be <br>   set in inside the <action id="org.freedesktop.udisks2.filesystem-fstab"><br>   section to get consistent results between running "mount" or<br>   "udiskctl mount"   <br>   <br>   Is that correct?<br><br>Again, a big thank you.<br><br>Paul.<br><br><br><br>* <br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 13, 2015 at 11:51 AM, Andrei Borzenkov <span dir="ltr"><<a href="mailto:arvidjaar@gmail.com" target="_blank">arvidjaar@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">В Fri, 13 Feb 2015 10:24:39 -0600<br>
Paul Novak <<a href="mailto:k9jenius@gmail.com">k9jenius@gmail.com</a>> пишет:<br>
<br>
><br>
<span class="">> >> System devices require authentication for<br>
> >> org.freedesktop.udisks2.filesystem-mount-system action; other devices -<br>
> >> for org.freedesktop.udisks2.filesystem-mount. Check whether polkit<br>
> >> grants you it:<br>
><br>
> Running as non-root user,<br>
><br>
>     pkcheck -a org.freedesktop.udisks2.filesystem-mount-system -p $$<br>
><br>
> returns no visible output, so running<br>
><br>
>     echo $?<br>
><br>
> returns 0<br>
><br>
> I believe this means that polkit is granting permission to me (non-root<br>
> user)<br>
><br>
<br>
</span>Correct.<br>
<span class=""><br>
><br>
> I went to the<br>
><br>
>     <action id="org.freedesktop.udisks2.filesystem-mount-system"><br>
><br>
> section, and changed<br>
><br>
>       <allow_active>yes</allow_active><br>
> to      <allow_active>auth_admin</allow_active><br>
><br>
> towards the end of the section.<br>
><br>
> I rebooted (I wasn't sure if I needed to but I just wanted to be sure).<br>
> I (non-root) could still mount ROOT3 using the KDE device notifier<br>
> and running "udisksctl mount -b /dev/sda1" on the command line.<br>
><br>
<br>
</span>This file sets default policy. There could be other settings that<br>
change it. E.g. I have in /etc/polkit-1/rules.d/90-default-privs.rules<br>
<br>
                'org.freedesktop.udisks2.filesystem-mount-system':<br>
                        [ 'auth_admin', 'auth_admin', 'auth_admin_keep' ],<br>
<br>
check /etc/polkit-1/rules.d and /usr/share/polkit-1/rules.d<br>
<br>
You can also simply create additional file to override these settings.<br>
<span class=""><br>
><br>
> - is udisks supposed to ignore the "nouser" setting in /etc/fstab<br>
>    and just go by whatever polkit tell it?<br>
><br>
> - do I need to reboot after changing<br>
>     /usr/share/polkit-1/actions/org.freedesktop.udisks2.policy<br>
><br>
<br>
</span>You need to restart polkit daemon<br>
<div class="HOEnZb"><div class="h5"><br>
> - even if ROOT3 were not set to "nouser", why am I (non-root)<br>
> allowed to mount ROOT3 using udisksctl even after I set every<br>
> occurance of <allow_active> to auth_admin?<br>
><br>
> Paul.<br>
> *<br>
><br>
><br>
> On Fri, Feb 13, 2015 at 12:24 AM, Andrei Borzenkov <<a href="mailto:arvidjaar@gmail.com">arvidjaar@gmail.com</a>><br>
> wrote:<br>
><br>
> > В Thu, 12 Feb 2015 11:59:40 -0600<br>
> > Paul Novak <<a href="mailto:k9jenius@gmail.com">k9jenius@gmail.com</a>> пишет:<br>
> ><br>
> > > I'm trying to track down what I think is a bug that<br>
> > > can be seen using the KDE device notifier (although<br>
> > > according to the KDE folks, the problem in either in<br>
> > > udisk or polkit (either a bug or misconfiguration).<br>
> > ><br>
> > > I'm just a user; I'm not a developer.<br>
> > ><br>
> > > Before I write a bug report, I'm asking for confirmation<br>
> > > that what I'm seeing is in fact a bug and not expected/<br>
> > > desired behavior.<br>
> > ><br>
> > > I have verified this issue running LiveDVDs of<br>
> > > Kubuntu, Mint, and PCLinuxOS.   I used LiveDVDs<br>
> > > to eliminate any possibility of the problem<br>
> > > being related to my personal computer.<br>
> > ><br>
> ><br>
> > Live DVDs could intentionally loosen permission checks. After all you<br>
> > are supposed to be the sole user and cannot interfere with anything.<br>
> ><br>
> > > I have many partitions on my primary hard drive that<br>
> > > are not normally mounted.   One of them (for example)<br>
> > > is LABEL-ed ROOT3 and I have an entry in /etc/fstab<br>
> > > that looks like this:<br>
> > ><br>
> > >       LABEL=ROOT3     /mnt/ROOT3      ext4  noauto,nouser,ro 1 2<br>
> > ><br>
> > > I don't want non-root users to be able to mount or unmount<br>
> > > that partition, so I have set the "nouser" attribute.<br>
> > ><br>
> > > In a (non-root) terminal, if I run<br>
> > ><br>
> > >       mount /mnt/ROOT3<br>
> > ><br>
> > > I will (correctly) get this error:<br>
> > ><br>
> > >       mount: only root can mount LABEL=ROOT3 on /mnt/ROOT3<br>
> > ><br>
> > > However, if I (non-root user) click on the KDE Device Notifier and<br>
> > > configure it to look at all devices (not just removable),<br>
> > > then find the ROOT3 partition, and then click on the "little belt"<br>
> > > icon to the right of the ROOT3, the Device Notifier does mount<br>
> > > the filesystem read-only.   Because the filestem is mounted<br>
> > > read-only, I know the Device Notifier (or the tools it calls)<br>
> > > is reading /etc/fstab.   But I also know that "nouser" is<br>
> > > apparently being ignored.<br>
> > ><br>
> > > I filed a bug report again the KDE Device Notifier, but they closed<br>
> > > it saying the device notifier calls udisk with calls polkit when<br>
> > > dealing with mounts, so the problem was either a bug or a<br>
> > > misconfiguration of polkit or udisk.<br>
> > ><br>
> ><br>
> > use "udiskctl info -b /dev/sdXN" to check whether partition is<br>
> > considered system or not:<br>
> ><br>
> > bor@opensuse:~> udisksctl info -b /dev/sda1<br>
> > /org/freedesktop/UDisks2/block_devices/sda1:<br>
> >   org.freedesktop.UDisks2.Block:<br>
> >     Configuration:              [('fstab', {'fsname': <b'/dev/sda1'>,<br>
> > 'dir': <b'/boot'>, 'type': <b'ext2'>, 'opts': <b'defaults'>, 'freq': <1>,<br>
> > 'passno': <2>})]<br>
> > ...<br>
> >     HintSystem:                 true<br>
> ><br>
> > System devices require authentication for<br>
> > org.freedesktop.udisks2.filesystem-mount-system action; other devices -<br>
> > for org.freedesktop.udisks2.filesystem-mount. Check whether polkit<br>
> > grants you it:<br>
> ><br>
> > bor@opensuse:~> pkcheck -a<br>
> > org.freedesktop.udisks2.filesystem-mount-system -p $$<br>
> > polkit\56retains_authorization_after_challenge=1<br>
> > Authorization requires authentication and -u wasn't passed.<br>
> ><br>
> > So here poilkit will require explicit authentication for system<br>
> > devices. As opposed to<br>
> ><br>
> > bor@opensuse:~> pkcheck -a org.freedesktop.udisks2.filesystem-mount -p $$<br>
> > bor@opensuse:~/src/udisks> echo $?<br>
> > 0<br>
> ><br>
> > Finally try explicitly mount from command line<br>
> ><br>
> > udisksctl mount -b /dev/sdXN<br>
> ><br>
> > Note that it also depends on whether you have udisks or udisks2 and<br>
> > polkit or polkit2 ... but you got an idea?<br>
> ><br>
> > > I don't want to write a needless bug report if in fact<br>
> > > this is behavior is not a bug.  Could someone please<br>
> > > let me know if this is expected behavior ("ro" is used,<br>
> > > but "nouser" seems to be ignored)?<br>
> > ><br>
> > > Yesterday I posted a similar message to the polkit-devel<br>
> > > mailing list, but I haven't heard anything from anyone<br>
> > > there.<br>
> > ><br>
> > > Thanks.<br>
> > ><br>
> > > Paul.<br>
> > ><br>
> > > _______________________________________________<br>
> > > devkit-devel mailing list<br>
> > > <a href="mailto:devkit-devel@lists.freedesktop.org">devkit-devel@lists.freedesktop.org</a><br>
> > > <a href="http://lists.freedesktop.org/mailman/listinfo/devkit-devel" target="_blank">http://lists.freedesktop.org/mailman/listinfo/devkit-devel</a><br>
> ><br>
> ><br>
<br>
</div></div></blockquote></div><br></div>