[[Vorlage(Getestet, jammy, focal, bionic)]]
{{{#!vorlage Wissen
[:Pakete installieren: Installation von Programmen]
[:Root-Rechte:]
[:Nautilus:]
}}}

Die Erweiterung '''nautilus-admin''' fügt im Nautilus-Kontextmenü[3] eines Ordners bzw. einer Datei der Eintrag ''„Als Systemverwalter öffnen“'' bzw. ''„Als Systemverwalter bearbeiten“'' hinzu. Damit lässt sich ein Ordner mit Root-Rechten[2] betreten (d.h. ein entsprechendes Fenster wird geöffnet) und eine fremde Datei, zu denen dem normalen Benutzer die Berechtigungen fehlen, als [:root:] bearbeiten. Dabei laufen die Programme [:Nautilus:] oder der Editor, z.B. [:GEdit:] selbst nicht unter dem Benutzer `root`, sondern unter dem normalen Benutzer und es wird das GVFS-Protokoll `admin://` benutzt.

= Installation =
Das Paket '''nautilus-admin''' ist in einer Standardinstallation von Ubuntu nicht enthalten, kann aber aus den offiziellen Paketquellen installiert werden[1]:

{{{#!vorlage Paketinstallation
nautilus-admin, Dateimanager-Erweiterung für administrative Operationen, universe
}}}

Nach der Installation des Pakets muss der [:GNOME-Desktop:] neu gestartet werden (nur unter X11 möglich) oder man muss sich ab- und neu anmelden.

= Benutzung =
Das Erweiterungspaket installiert nur eine Bedienoberfläche für eine bereits in Nautilus vorhandene Basisfunktionalität, die auch ohne das Erweiterungspaket genutzt werden kann.

Ist das Paket installiert, wird die gewünschte Datei mit der rechten Maustaste [[Vorlage(Tasten, rmt)]] ausgewählt. Im darauf erscheinenden Kontextmenü wählt man den Eintrag ''„Als Systemverwalter öffnen/bearbeiten“''. 

Es wird über [:PolicyKit:Policy-Kit] das Passwort eines [:Administrator:Administrators] erfragt. Dies geschieht ggf. mehrfach, weil jede einzelne Aktion wie Start des Dienstes '''gvfsd-admin''', Öffnen des Fensters für den Ordner und Start des Editors mit der Datei einzeln autorisiert werden muss.

Da Policy-Kit im Gegensatz zu [:sudo:] eine erfolgreiche Autorisierung nicht für weitere Aufgaben zwischenspeichert, kommt es beim Einsatz dieser Nautilus-Erweiterung zu mehr Passwortabfragen, als wenn Nautilus selbst als `root` laufen würde – was aber im Vergleich unsicherer wäre. Konkret kommt es in folgenden Situationen zu Passwort-Abfragen:
 1. Beim Start des GVFS-Admin-Daemons. Dies passiert in der Regel nur einmalig pro Session – also meist beim ersten Verwenden des Kontextmenüeintrages ''„Als Systemverwalter bearbeiten“'' bzw. ''„Als Systemverwalter öffnen“''.
 1. Jedes mal beim Betreten eines Ordners in Nautilus über das Kontextmenü mittels ''„Als Systemverwalter öffnen“''. Dazu markiert man den zu betretenden Ordner oder auch keinen Ordner und aktiviert den Eintrag im Kontextmenü. In diesem Fall öffnet sich ein neues Fenster für den Ordner, in dem man die Aktion des Kontextmenüs ausgeführt hat; man muss also noch selber in den gewünschten Ordner wechseln.
 1. Jedes mal beim Öffnen einer Datei über das Kontextmenü ''„Als Systemverwalter bearbeiten“''.

Auch mit aktivierter Erweiterung `nautilus-admin` kann man immer noch über die Basis-Funktionalität als `root` arbeiten: Dazu navigiert man im normalen Modus zu dem Ordner, den man als normaler Benutzer nicht betreten bzw. öffnen darf und versucht ihn ganz einfach zu betreten. Nach Eingabe des Passworts hat man ihn dann bereits als `root` betreten. In diesem Fall wird kein neues Fenster geöffnet. 

[[Vorlage(Bildunterschrift, nautilus-admin-etc-fstab.png, ,"'''Ein Nautilus-Fenster mit Root-Rechten''' [[BR]](Roter und grüner Kasten wurden hinzugefügt und werden im Text erklärt. Der rote Balken bei der Datei `fstab` kennzeichnet diese nur als ausgewählt und hat nichts mit der in diesem Artikel besprochenen Funktionalität zu tun.)" ) ]]
Man erkennt seine Verfügungsgewalt über die Root-Rechte am Schriftzug ''Administratoren-Wurzelordner'' (roter Kasten im Bild) in der Suchzeile des Nautilus-Fensters und auch nur über diesen Hinweis. Wenn man mit eingeblendeter Seitenleiste (grüner Kasten im Bild, Umschaltung über [[Vorlage(Tasten, F9 ) ]]) arbeitet, bezieht sich das auf das rechte Teilfenster. Man kann durch Navigation in der Seitenleiste die Root-Rechte temporär verlieren; dabei behält das Fenster aber die Fähigkeit, die Root-Rechte ohne erneute Eingabe eines Passworts wieder zu erlangen – wenn man z.B. über die Zurück-Taste im Kopfbereich des Fensters wieder zum ''Administratoren-Wurzelordner'' zurückkehrt.

Die Bezeichnung ''Administratoren-Wurzelordner'' ist einfach nur eine Umschreibung für: ''„Es wird das GVFS-Protokoll `admin://` benutzt.“''

Wenn man die Breite des Fensters verkleinert, wird der Hinweis ''Administratoren-Wurzelordner'' ggf. eingekürzt auf z.B. ''Ad…er'' oder kann auch ganz verschwinden. Beim Arbeiten als Systemverwalter muss man daher ein solches Fenster selber immer im Gedächtnis behalten und sollte es umgehend schließen, wenn es nicht mehr benötigt wird, weil wegen der sparsamen Kennzeichnung man sehr leicht vergessen kann, dass es Superkräfte besitzt.

Wenn man einen im normalen Modus verbotenen Ordner als Systemverwalter betreten hat, kann man hier ohne erneute Eingabe des Passworts Dateien löschen und neue Dateien als `root` anlegen, aber für die Bearbeitung einer Datei muss man das Passwort eines Administrators eingeben. Nach 5 Minuten Untätigkeit muss man auf jeden Fall erneut das Passwort eingeben.

Es gibt wohl keine andere Art, die erworbenen Root-Rechte zuverlässig wieder abzugeben, als alle Nautilus-Fenster zu schließen.


# tag: GNOME, Dateimanager, Dateimanager-Erweiterung, GNOME 3, Sicherheit