Das für Fedora 12 geplante “Feature“, dass normale Nutzer Software installieren dürfen, ist wieder zurückgenommen worden. Die ausgelöste Protestwelle war wohl stärker als der Innovationswille gegen das seit Unix-Urzeiten gültige Prinzip “nur Root darf alles”.

An sich waren da ja noch andere Voraussetzungen für den Benutzer nötig: Eine grafische X-Session direkt am Rechner, die Installation nur aus der hinterlegten Paketquelle und die einwandfreie Prüfung der Paket-Signaturen. Das heißt, eigentlich war die Änderung im PolicyKit genau für den OCPL-Fall (“One Child per Laptop“) gedacht. Und der ist ja nun wirklich Alltag, wenn man mal von Firmenrechnern oder (Web-)Servern absieht. Jeder Löffel hat doch mittlerweile eine eigene IP und Webseite.

Ich muss sagen, ich fand den Kompromiss-Vorschlag von Alexandra Kleijn zunächst sehr gut: Solange nur ein Nutzer angelegt ist, kann er Software-Pakete nachinstallieren. Sobald ein zweiter Account hinzukommt, geht das nicht mehr. Das würde wohl die gängigsten Fälle abdecken. Aber auch hier gibt es noch offene Fragen und Gedanken.

So können Benutzer eventuell aus einem LDAP-Verzeichnis kommen. Der einzige Nicht-Root-Account auf dem Rechner gehört dann vielleicht einem unprivilegierten ssh-Zugang für den Admin, der root-Anmeldungen per ssh verbieten möchte. So sollte dieser unprivilegierte Nutzer in diesem Fall auch keine Software nachschieben können.

Das nächste Ding ist die vielfältige Natur der Unix-Nutzeraccounts: Drucker-daemon, Samba-Server oder ftp-Dient: Oft hat jede Software einen eigenen Account, um eine lokale Sicherheitslücke einer Applikation oder eines Dienstes nicht weiter ausnutzbar zu machen – eine gute Sache, wie ich finde. Wer also eine neue Linux-Distribution ausrollt, hat womöglich bereits 20 Einträge in /etc/passwd, ohne diese im Details zu kennen.

Das beste ist wohl, man fragt im Installationsprozess einfach nach. Dann macht’s jeder wie Nolte – und der machte es ja bekanntlich, wie er wollte. 🙂