Моя обычная учетная запись пользователя, скажем, user1. Я создал отдельное user2 для некоторого x-приложения, которое я хотел бы запустить при входе в x под именем user1, но таким образом, чтобы он не имел доступа для чтения / записи к данным user1. Я думал, что я мог бы использовать xauth и sudo / su для user2 от user1 для запуска этого приложения. Как мне это сделать? Я не уверен, как настроить xauth.
Ответы:
Чтобы использовать xauth выборочно, запустите user1 :
xauth list|grep `uname -n`
Это напечатает записи авторизации hexkey для вас. Вы также можете иметь разные дисплеи, связанные с этими хостами.
В качестве user2 установите ваш дисплей (при условии регистр по умолчанию):
DISPLAY=:0; export DISPLAY
Затем запустите:
xauth add $DISPLAY . hexkey
Обратите внимание на точку после $ DISPLAY и перед гекски.
Когда доступ больше не нужен, от имени пользователя user2 вы можете запустить:
xauth remove $DISPLAY
unset XAUTHORITY под user2
hexkeyв xauth addкоманде то же, что и из xauth listили я должен создать случайный новый?
Я поставил свою .zshrcстроку с, export XAUTHORITY=~/.Xauthorityи теперь я могу выполнить sudo -E xcommand. После долгих поисков, для меня это был самый простой способ.
sudo -E(а использование -Eотключено в большинстве установок по умолчанию), потому что обычно sudoersконфигурация по умолчанию позволяет XAUTHORITYпередавать переменную среды в sudo.
-E . Его можно установить как переменную, которую можно передать, и Red Hat или Debian предлагают это.
Предположим, Debian или Ubuntu (должно быть похоже на Red Hat / SUSE).
sudo apt-get install sux
sux user -c 'command'
suxне поддерживается (и удален из репозиториев Debian / Ubuntu): packages.qa.debian.org/s/sux/news/20140101T172633Z.html
Во-первых: не используйте xhost +, это довольно небезопасно (полное разрешение / запрет).
Скорее используйте механизм X-Cookie:
su user2
cp /home/user1/.Xauthority /home/user2/.Xauthority
export DISPLAY=:0
В качестве альтернативы, если вы suxустановили, используйте это (см. Ответ ehempel).
В обоих случаях user2 будет использовать секретный файл cookie в .Xauthority для авторизации на X-сервере, и никто другой не будет иметь к нему доступа.
Примечания:
.Xauthorityвы также можете использовать xauthдля извлечения и копирования ключ авторизации (см. Ответ Рэндалла). Если у вас есть несколько ключей в .Xauthorityфайле, это более избирательно; в противном случае это вопрос вкуса.Это просто хаки:
Слеське выше, я думаю, правильное решение.
ssh -Xэто очень простое и элегантное решение, не зависящее от каких-либо устаревших / не поддерживаемых компонентов gtk / kde (которые требуют установки большего количества двоичных файлов с битом SUID ...).
Я нашел то, что отлично работает для меня на KDE
kdesu -u username /path/to/program
kde-cli-tools, а не в, $PATHно в /usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu(очевидно, в зависимости от архитектуры).
Этот способ сделан в suse / opensuse: http://www.novell.com/support/kb/doc.php?id=7003743
Просто измените /etc/pam.d/su, добавив параметр (жирный):
необязательный сеанс pam_xauth.so systemuser = 1
Тогда вы можете переключаться с su без -:
su user2
и запустить приложение графически.
Для GNOME (и без какой-либо среды рабочего стола, я использую его только с icewm) gksu:
gksu -u username program
.Xauthorityфайла в домашнем каталоге user2. Проблема 2: Почему-то и по какой-то причине я не понимаю, после тогоsu, как XAUTHORITY содержит путь к файлу user1. Но этот файл не читается пользователем2.