Ubuntu Weekly Recipe

第173回 管理者の操作を待たずにアップデートするPolicyKitの設定・unattended-upgrade

この記事を読むのに必要な時間:およそ 3 分

Ubuntuではパッケージのアップデートが存在するときに通知を出してくれますが,そのアップデートを適用するには管理者の操作が必要です。今回は,管理者の操作を待たずにパッケージをアップグレードするPolicyKitの設定方法とunattended-upgradeの設定方法を紹介します。

PolicyKitの設定

通常,Ubuntuでパッケージをアップグレードするにはアップデートマネージャ(update-manager)を使います図1)⁠セキュリティアップデートが存在する場合には即時,バグ修正のための推奨アップデートが存在する場合には7日に1度,アップデートマネージャの画面が表示されます注1)⁠ここで「アップデートをインストール」ボタンをクリックするとパッケージをアップグレードできるのですが,Ubuntuのデフォルトではこの操作は"admin"グループに属しているシステムの管理者にのみ許可されています。

そのため,システムの管理者はほとんどログインせず,普段使用するユーザがデスクトップユーザとしての権限しか持っていない,といった筆者の実家のような特殊な環境の場合,システムのアップデートを適用するのが遅れてしまいます注2)⁠

アップデートを実家側で適用してもらうには管理者としての権限を与えれば済むのですが図2)⁠同時にシステムを破壊してしまう可能性も生じるため,アップデートだけを許可する設定にはできないだろうか,と考えました。

図1 アップデートをインストールするアップデートマネージャ

図1 アップデートをインストールするアップデートマネージャ

注1
ちなみに推奨アップデートを表示する間隔の「7日」という値はgconfの"/apps/update-notifier/regular_auto_launch_interval"で定義されています。この値を"0"に設定すると,推奨アップデートの場合でも即時にアップデートマネージャを表示させられます。
注2
Ubuntu自体のセットアップはすべて筆者が済ませた上で,両親に使ってもらっています。

図2 [システムの管理]-[ユーザとグループ]の「アカウントの種類」で管理者に設定できる

図2 [システムの管理]-[ユーザとグループ]の「アカウントの種類」で管理者に設定できる

そこで,アップデートをインストールするための認証画面で「詳細」の部分に注目しました図3)⁠実はここで表示されるアクションごとに権限を設定できるため,管理者としての権限を与えなくても「特定のユーザやグループにパッケージのアップグレードのみを許可する」といったことができます。

図3 権限を必要とするアクションが表示された認証画面

図3 権限を必要とするアクションが表示された認証画面

例えば,"upgrade-only"グループに所属している管理者ではないユーザが,パッケージのアップグレードを実行できるようにするには次のように設定します。

まずは"upgrade-only"グループを作成し,ユーザ(USER_NAME部分)をそのグループに参加させます。

$ sudo addgroup --system upgrade-only
$ sudo adduser USER_NAME upgrade-only

グループへの参加を有効化するために該当ユーザを一旦ログアウトさせます。

また,次の内容で"/etc/polkit-1/localauthority/50-local.d/10-allow-upgrade.pkla"という設定ファイルを作成します。

# Configuration file for the PolicyKit Local Authority.
#
# See the pklocalauthority(8) man page for more information
# about configuring the Local Authority.
#

[Upgrade-only Group Permissions]
Identity=unix-group:upgrade-only
Action=org.debian.apt.upgrade-packages
ResultAny=no
ResultInactive=no
ResultActive=auth_self

ここでは,グループ内ユーザのアクティブセッションで,そのユーザのパスワードを使ってアップデートを適用できるようにしています。

ただし,この設定だけではパッケージのアップグレード時に,依存関係で新たにインストールが必要なパッケージがあるときに対応できません。そのため,"org.debian.apt.install-or-remove-packages"というアクションも追加しておくといいでしょう注3)⁠

"org.debian.apt.upgrade-packages"と"org.debian.apt.install-or-remove-packages"の2つのアクションのみを許可するユーザやグループを設定すると,⁠パッケージのアップグレードができ」⁠⁠リポジトリ内のパッケージがインストールでき」るものの,⁠リポジトリを変更できず」⁠⁠debファイルからの直接インストールもできない」注4といった権限に設定できますが,ここで注意しなければならないのは「パッケージの削除ができてしまう」ことです。

パッケージの削除ができてしまうことは筆者の求める権限管理にはそぐわなかったので,筆者は最終的にはunattended-upgradeを選びました。

注3
定義されているアクションの一覧は"pkaction"コマンドで取得できます。また,アクションの詳細を確認するには"$ pkaction --action-id org.debian.apt.install-or-remove-packages --verbose"のように実行します。
注4
ソフトウェアセンター内でパートナーリポジトリを有効化する操作は"org.debian.apt.change-repository",debファイルから直接インストールする操作は"org.debian.apt.install-file"として定義されています。

著者プロフィール

村田信人(むらたのぶと)

Ubuntu Japanese Teamメンバー。Ubuntuオフラインミーティングに参加するうちにUbuntu Japanese Teamの活動に興味を持ち,2009年8月に加入。

コメント

コメントの記入