PolicyKit ist in der Lage dynamisch Rechte für den Zugriff auf Systemressourcen zu erteilen. Es wird über Konfigurationsdateien gesteuert und kann somit festgelegten Nutzern oder Nutzergruppen Zugriff auf verschiedene Ressourcen gewähren. So kann z.B. über PolicyKit Benutzern gewährt werden den Computer herunter zu fahren ohne ihnen root-Rechte zugestehen zu müssen. Selbiges gilt z.B. für das mounten einer CD.

Durch die Verwendung von PolicyKit erlangen normale User deutlich höhere Rechte. Die Steigerung des Komforts kann also auch eine Gefahr für die Systemsicherheit darstellen. Aus diesem Grund sollte mit der Vergabe der Rechte mit Bedacht umgegangen werden! Es ist empfehlenswert nur so viele Berechtigungen zu setzen als notwendig.

'Prinzipiell gilt: Erst testen ob das benötigte Feature auch ohne PolicyKit funktioniert, denn gerade die größeren Desktop-Systeme könne viele Berechtigungsfragen selbst klären.'

Nutzer die KDE in Kombination mit KDM einsetzen können auf das Setzen der Rechte zum Herunterfahren und Neustarten des Rechners verzichten, da KDE dies auch ohne explizite Einstellung erlaubt. Alle weiteren Rechte müssen jedoch gesetzt werden wenn sie benötigt sind (z.B. org.freedesktop.hal.storage.mount-removable zum mounten von CDs).

Andererseits können Nutzer die Gnome in Kombination mit GDM einsetzen beispielsweise auf das Setzen der Berechtigungen zum CD mounten verzichten, da dies durch Gnome selbst abgedeckt ist.

Die Konfiguration erfolgt über /usr/local/etc/PolicyKit/PolicyKit.conf. Zwischen die Tags <config> und </config> ist folgender Text einzufügen.

Hinweis: Da diese Datei essenziell für die Systemsicherheit ist, ist sie selbst für den User root schreibgeschützt. Bei Verwendung des vim muss die Datei daher mit :x! gespeichert werden.

\t<match action="org.freedesktop.hal.storage.mount-removable">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.storage.mount-fixed">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.storage.eject">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.storage.unmount-others">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.power-management.reboot">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.power-management.shutdown">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.power-management.hibernate">
\t\t<return result="yes" />
\t</match>
\t<match action="org.freedesktop.hal.power-management.suspend">
\t\t<return result="yes" />
\t</match>

Dabei ist darauf zu achten was man alles hinzufügt. So kann man z.B. lediglich das Herunterfahren aber nicht das Rebooten erlauben etc. Jeder Eintrag hier erlaubt den entsprechenden Zugriff für alle Benutzer!

Sollte über die Konfiguration org.freedesktop.hal.storage.mount-removable CDs gemounted werden ist darauf zu achten, dass das entsprechende CD-Laufwerk nicht in der /etc/fstab aufgeführt wird oder auskommentiert ist.

Dies ist auch bei der Verwendung von KDE oder Gnome notwendig, selbst wenn Gnome nicht auf PolicyKit zurückgreift.