Minha conta de usuário comum é, digamos, user1. Criei user2 separado para algum aplicativo x que eu gostaria de executar enquanto estivesse conectado ao x como user1, mas de uma maneira que impedisse o acesso de leitura / gravação aos dados do user1. Eu pensei que eu poderia usar xauth e sudo / su para user2 de user1 para executar este aplicativo. Como eu faço isso? Não sei como configurar o xauth.
Respostas:
Para usar o xauth seletivamente, como user1, execute:
xauth list|grep `uname -n`
Isso imprime as entradas de autorização hexkey para você. Você também pode ter telas diferentes associadas a esses hosts.
Como usuário2, defina sua exibição (assumindo o caso padrão):
DISPLAY=:0; export DISPLAY
Então corra:
xauth add $DISPLAY . hexkey
Observe o ponto após o $ DISPLAY e antes da chave hexagonal.
Quando o acesso não é mais necessário, como user2, você pode executar:
xauth remove $DISPLAY
unset XAUTHORITY no user2 #
hexkeyno xauth addcomando da mesma a partir de xauth listou eu tenho que criar um novo aleatório?
Coloquei na minha .zshrclinha export XAUTHORITY=~/.Xauthoritye agora sou capaz de executar sudo -E xcommand. Depois de pesquisar bastante, para mim, essa era a maneira mais fácil.
sudo -E(e o uso -Eestá desativado na maioria das instalações padrão) porque normalmente a sudoersconfiguração padrão permite que a XAUTHORITYvariável de ambiente seja passada para o sudo.
-E . Pode ser definido como uma variável que pode ser passada, e é sugerida pela Red Hat ou pelo Debian.
Supondo debian ou ubuntu (deve ser semelhante no Red Hat / SUSE).
sudo apt-get install sux
sux user -c 'command'
suxnão está mantido (e foi removido dos repositórios Debian / Ubuntu): packages.qa.debian.org/s/sux/news/20140101T172633Z.html
Primeiro: não use xhost +, é bastante inseguro (permitir / negar cobertor).
Em vez disso, use o mecanismo X-Cookie:
su user2
cp /home/user1/.Xauthority /home/user2/.Xauthority
export DISPLAY=:0
Como alternativa, se você suxinstalou, use isso (consulte a resposta do ehempel).
Nos dois casos, o usuário2 usará o cookie secreto no .Xauthority para autorizar o servidor X, e ninguém mais terá acesso a ele.
Notas:
.Xauthority, você também pode usar xauthpara extrair e copiar a chave de autorização (consulte a resposta de Randall). Se você tiver várias chaves no .Xauthorityarquivo, isso é mais seletivo; caso contrário, é uma questão de gosto.Estes são apenas hacks:
Acho que a sleske acima tem a solução adequada.
ssh -Xé uma solução muito simples e elegante, não depende de nada do gtk / kde obsoleto / não mantido (que requer a instalação de mais binários com o bit SUID ...).
Encontrei algo que funciona muito bem para mim no KDE
kdesu -u username /path/to/program
kde-cli-tools, e não dentro, $PATHmas dentro /usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu(obviamente dependendo da arquitetura).
Desta forma, feita em suse / opensuse: http://www.novell.com/support/kb/doc.php?id=7003743
Simplesmente modifique o /etc/pam.d/su, adicionando a opção (negrito):
sessão opcional pam_xauth.so systemuser = 1
Então você pode alternar com su sem -:
su user2
e execute o aplicativo graficamente.
Para o GNOME (e realmente sem qualquer ambiente de desktop, eu o uso apenas com o icewm) gksu:
gksu -u username program
.Xauthorityarquivo no diretório inicial do usuário2. Problema 2: De alguma forma e por algum motivo eu não entendo, depois quesuXAUTHORITY mantém o caminho de arquivo para os user1's. Mas esse arquivo não é legível pelo usuário2.