Мій звичайний обліковий запис користувача - це, скажімо, user1. Я створив окремий user2 для якоїсь програми x, яку я хотів би запустити під час входу в x як user1, але таким чином, щоб не допустити доступу до читання / запису до даних user1. Я думав, що я можу використовувати xauth та sudo / su для user2 від user1 для запуску цієї програми. Як це зробити? Я не впевнений, як налаштувати xauth.
Відповіді:
Щоб використовувати xauth вибірково під час запуску user1:
xauth list|grep `uname -n`
Це друкує записи авторизації hexkey для вас. У вас також можуть бути різні дисплеї, пов’язані з цими хостами.
Як користувач2 встановив ваш дисплей (якщо вважати випадок за умовчанням):
DISPLAY=:0; export DISPLAY
Потім запустіть:
xauth add $DISPLAY . hexkey
Зверніть увагу на крапку після $ DISPLAY та перед шестигранним знаком.
Коли доступ більше не потрібен, як user2 ви можете запустити:
xauth remove $DISPLAY
unset XAUTHORITY під user2
hexkeyв xauth addкоманді так само , як з xauth listабо я повинен створити випадковий новий?
Я ставлю свою .zshrcлінію з export XAUTHORITY=~/.Xauthorityі тепер я можу виконати sudo -E xcommand. Після багатьох гуглів для мене це був найпростіший спосіб.
sudo -E(а використання -Eвимкнено для більшості встановлень за замовчуванням), оскільки зазвичай sudoersконфігурація за замовчуванням дозволить XAUTHORITYпередати змінну середовища в sudo.
-E . Його можна встановити як змінну, яку можна передавати, і Red Hat або Debian пропонує це.
Якщо припустити debian або ubuntu (має бути схожим на Red Hat / SUSE).
sudo apt-get install sux
sux user -c 'command'
suxце НЕ супроводжується (і видаляються з репозиторіїв Debian / Ubuntu в): packages.qa.debian.org/s/sux/news/20140101T172633Z.html
По-перше: не використовуйте xhost +, це досить небезпечно (ковдра дозволяє / заборонити).
Швидше скористайтеся механізмом X-Cookie:
su user2
cp /home/user1/.Xauthority /home/user2/.Xauthority
export DISPLAY=:0
Якщо ви suxвстановили, використовуйте це (див. Відповідь ehempel).
В обох випадках user2 використовуватиме секретний файл cookie в .Xauthority для авторизації на сервері X, і ніхто більше не матиме доступу до нього.
Примітки:
.Xauthorityви також можете xauthскопіювати та скопіювати ключ авторизації (див. Відповідь Рандалла). Якщо у .Xauthorityфайлі є кілька клавіш, це більш вибірково; інакше це питання смаку.Це просто хаки:
Sleske вище має, я думаю, правильне рішення.
ssh -X- це дуже просте і елегантне рішення, не залежне від будь-яких застарілих / незбережених gtk / kde-матеріалів (для яких потрібно встановити більше бінарних файлів з бітом SUID ...).
Я знайшов щось, що для мене чудово працює в KDE
kdesu -u username /path/to/program
kde-cli-tools, а не в, $PATHале в /usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu(очевидно, залежно від архітектури).
Це зроблено у suse / opensuse: http://www.novell.com/support/kb/doc.php?id=7003743
Просто змінивши /etc/pam.d/su, додавши параметр (напівжирний):
сеанс необов'язково pam_xauth.so systemuser = 1
Тоді ви можете перемикатися з su без -:
su user2
і запустити додаток графічно.
Для GNOME (і справді без будь-якого середовища на робочому столі, я використовую його лише з icewm) gksu:
gksu -u username program
.Xauthorityфайлу в домашній директорії user2. Проблема 2: Якось і чомусь я не розумію, після цьогоsu, XAUTHORITY тримає файловий шлях до user1's. Але цей файл не читабельний користувачем2.