Допустим, у меня есть 2 учетных записи user1и user2. Когда я вхожу в систему как user1, а затем переключаюсь на user2использование su, я могу выполнять программы командной строки, но программы GUI терпят неудачу.
Пример:
user1@laptop:~$ su - user2
user2@laptop:~$ leafpad ~/somefile.txt
No protocol specified
leafpad: Cannot open display:
Так как я могу запустить приложение с графическим интерфейсом?
Ответы:
Став другим пользователем, вы обычно хотите использовать su - user2. Черта заставит user2's .bash_profileполучить источник.
Кроме того, вам нужно предоставить пользователям доступ к вашему дисплею. Это регулируется X. Вы можете использовать команду, xhost +чтобы разрешить другим пользователям разрешение отображать GUI на рабочем столе пользователя user1.
ПРИМЕЧАНИЕ. Во время работы xhost +вы захотите запустить его, находясь в оболочке, принадлежащей user1.
Когда вы станете user2, вам может потребоваться установить переменную окружения $DISPLAY.
$ export DISPLAY=:0.0xhost +user2все еще дает мне эту ошибку xhost: bad hostname "user2". Я гуглил некоторые, и, кажется, мне нужно сделать, xhost +user2@laptopили xhost +user2@localhost, не уверен, что. Тогда это говорит xhost +user2@localhost being added to access control list.
xhostи указания export DISPLAY=:0.0, запуск по- leafpadпрежнему дает мне No protocol specified leafpad: Cannot open display:, и не удается запустить. Я нашел эту ссылку на linuxquestions.org/questions/linux-newbie-8/… , в которой говорится, что есть некоторые волшебные куки и xauth. Вы проверяли, что эти вещи работают на вашем компьютере, кстати? Может быть, что-то не так с моей конфигурацией? Я нахожусь на Debian + LXDE.
xhost +работает, и, кажется, больше ничего не нужно (не нужно устанавливать $DISPLAY). Можете ли вы обновить свой ответ, и я приму его?
xhostвыдаёт список в формате SI:localuser:USERNAME, поэтому xhost SI:localuser:user2должен работать. Ох, и дисплей пользователя можно найти с помощью w.
xhost +позволит любому пользователю на любом хосте, который может подключиться к вашему x-серверу, получить доступ к вашему экрану. xhost +SI:localuser:user2у меня работает на Debian.
Вам необходимо поделиться токеном аутентификации от пользователя user1 (при условии, что он ~является домом пользователя user1 ):
cat ~/.Xauthority | sudo -u user2 -i tee .Xauthority > /dev/nulltee -aчтобы избежать путаницы любой существующей информации в .Xauthority.
Вы можете использовать пересылку X11:
ssh -XY otheruser@localhost your-gui-program-name-hereВы можете запустить приложение от другого пользователя. Я буду запускать приложение gimp от пользователя user2, во время входа в систему (GUI) с пользователем 1:
$ xhost +
$ sudo su user2
(введите пропуск)
$ gimpНаслаждаться :)
export DISPLAYсначала, как сказано в принятом ответе)
$ xhost -
Вы можете попробовать команду sux:
sux user2sux будет обрабатывать для вас материал $ DISPLAY. Вам может понадобиться установить его с:
sudo apt-get install suxпод Debian / Ubuntu.
suxбольше не поставляется Debian или Ubuntu. Лучшая альтернатива, которую я могу найти, - это добавить xhost SI:localuser:root(или любого другого пользователя), ~/.xprofileчтобы разрешить его навсегда или использоватьrunuser
gksu/ gksudoальтернатива , которая работала хорошо. Пока он находится в Sid, он удаляется в Buster из-за проблем безопасности.
В качестве альтернативы sux, для безопасного запуска графической команды ( firefox-esrв примере ниже), как $AUTHUSER( guestв примере ниже):
AUTHUSER=guest
AUTHSTRING=SI:localuser:${AUTHUSER}
xhost +${AUTHSTRING} > /dev/null
SUDO_ASKPASS=/usr/bin/ssh-askpass
export SUDO_ASKPASS
sudo -k --askpass -u ${AUTHUSER} /usr/bin/firefox-esr
xhost -${AUTHSTRING} > /dev/null
sudo -K
код делает:
guestпользователю доступ к вашему текущему пользователю $DISPLAYчерезxhost +SI:localuser:guestssh-askpassграфического спрашивать пароль (конечно, вы могли бы использовать , sudoers(5) NOPASSWD:чтобы избежать этого, если ваша политика безопасности считает , что это нормально. Или вы можете использовать другие askpassпрограммы, или указать их в файлах конфигурации (см sudo(8)подробную информацию о --askpass)sudoers(5)), он запускает команду /usr/bin/firefox-esrот имени другого пользователя ( guest)guest) к вашему $DISPLAYотзываются черезxhost -SI:localuser:guestнаконец, sudo -Kудаляет кэшированный пароль, поэтому при следующем вызове ssh-askpassвас снова попросят ввести пароль (вместо использования кэшированного пароля)
хотя это немного больше работы, чем что gksu(8)либо sux(8), но это может быть написано в сценарии, и это гораздо более безопасно, чем:
xhost + (любой пользователь будет иметь доступ к вашему графическому дисплею, пока он действует)gksu/ suxделалось (временная копия ~/.Xauthority, которая позволяла указанному пользователю копировать ваш MIT-MAGIC-COOKIE-1и продолжать использовать ваш дисплей даже после завершения gksu / sux (если вы не выключили компьютер или не вышли из дисплея - заставки, спящий режим и т. д. не изменили магию печенье). поскольку он разрешит доступ к вашему дисплею только одному локальному пользователю, и только в течение всего времени выполнения команды (когда команда $AUTHUSERзавершится , он больше не сможет получить доступ к вашему дисплею).
Другая безопасной альтернативой является ssh -X(без -Yкоторой на самом деле делает вас менее безопасными! См ForwardX11Trustedв ssh_config(5)подробность), как это проще в использовании , если вы не сценарии, но это вызывает additinal накладных расходов (например, он стал медленнее) и некоторые программы могут не работать правильно без небезопасных -Y .
Вам нужно загрузить пользовательский интерфейс установки как user2 .
Попробуйте следовать этому:
Войдите в систему как root :
sudo suПроверьте сервер x:
xclockЕсли вы видите, что часы работают, это хорошо, теперь попробуйте запустить это:
xhostРезультат должен выглядеть так:
xhost SI:localuser:tri
# tri is my user name
Теперь позвольте user2 получить доступ к xhost
xhost +SI:localuser:user2Теперь попробуйте снова войти в user2 и попробуйте открыть любую из программ GUI.
sudo su. Используйте sudoили su; Выбери один. (3) Вопрос написан в терминах user1и user2. Пожалуйста, напишите свой ответ с точки зрения user1и user2. (Делайте или не делайте; нет tri.) (4) Ваш ответ был бы лучше, если бы он содержал объяснение SI:localuser. ……………… Пожалуйста, не отвечайте в комментариях; отредактируйте свой ответ, чтобы сделать его более понятным и полным.
$XAUTHORITYон по-прежнему настроен на user1~/.Xauthority, который, я полагаю, попытается прочитать программой, и не получится, поскольку этот файл обычно имеет режим 0600 (-rw-------), то есть он недоступен для чтения кем-либо из группы «другие», в которую входит пользователь2. Это означает, что если выchmod o+r ~/.Xauthority(как пользователь 1), вы решите эту проблему. Я написал сценарий, который демонстрирует это.