Moje zwykłe konto użytkownika to, powiedzmy, użytkownik 1. Utworzyłem osobnego użytkownika2 dla niektórych aplikacji x, które chciałbym uruchomić, będąc zalogowanym do x jako użytkownik1, ale w sposób, który uniemożliwi dostęp do odczytu / zapisu danych użytkownika1. Myślałem, że mogę użyć xauth i sudo / su na user2 z user1, aby uruchomić tę aplikację. Jak mam to zrobic? Nie jestem pewien, jak skonfigurować xauth.
Odpowiedzi:
Aby używać xauth wybiórczo, uruchom użytkownika1:
xauth list|grep `uname -n`
Spowoduje to wydrukowanie wpisów autoryzacji klucza sześciokątnego. Państwo mogłoby mieć różne obrazy związane z tymi gospodarzami, jak również.
Jako użytkownik2 ustaw wyświetlacz (przyjmując domyślny przypadek):
DISPLAY=:0; export DISPLAY
Następnie uruchomić:
xauth add $DISPLAY . hexkey
Zanotuj kropkę po $ DISPLAY i przed kluczem sześciokątnym.
Gdy dostęp nie jest już potrzebny, jako użytkownik2 możesz uruchomić:
xauth remove $DISPLAY
unset XAUTHORITY pod user2
hexkeyw xauth addpoleceniu taka sama jak od xauth listczy muszę stworzyć losową nowy?
Wstawiłem .zshrclinię z export XAUTHORITY=~/.Xauthorityi teraz jestem w stanie wykonać sudo -E xcommand. Po wielu googlowaniach był to dla mnie najłatwiejszy sposób.
sudo -E(i używanie -Ejest wyłączone w większości domyślnych instalacji), ponieważ normalnie domyślna sudoerskonfiguracja pozwala na XAUTHORITYprzekazanie zmiennej środowiskowej do sudo.
-E . Można go ustawić jako zmienną, którą można przekazać i sugeruje to Red Hat lub Debian.
Zakładając, że debian lub ubuntu (powinny być podobne w Red Hat / SUSE).
sudo apt-get install sux
sux user -c 'command'
suxjest nieobsługiwany (i usunięty z repozytoriów Debiana / Ubuntu): packages.qa.debian.org/s/sux/news/20140101T172633Z.html
Po pierwsze: nie używaj xhost +, jest raczej niepewny (koc pozwala / odmawia).
Zamiast tego użyj mechanizmu X-Cookie:
su user2
cp /home/user1/.Xauthority /home/user2/.Xauthority
export DISPLAY=:0
Alternatywnie, jeśli masz suxzainstalowany, użyj go (patrz odpowiedź ehempela).
W obu przypadkach użytkownik2 użyje tajnego pliku cookie w .Xauthority w celu autoryzacji na serwerze X i nikt inny nie będzie miał do niego dostępu.
Uwagi:
.Xauthoritymożesz także użyć xauthdo wyodrębnienia i skopiowania klucza autoryzacji (patrz odpowiedź Randalla). Jeśli w .Xauthoritypliku jest wiele kluczy, jest to bardziej selektywne; w przeciwnym razie jest to kwestia gustu.To tylko hacki:
powyżej myślę, że ma właściwe rozwiązanie.
ssh -Xjest bardzo prostym i eleganckim rozwiązaniem, niezależnym od przestarzałych / nieutrzymanych rzeczy gtk / kde (które wymagają zainstalowania większej liczby plików binarnych z bitem SUID ...).
Znalazłem coś, co działa dla mnie świetnie w KDE
kdesu -u username /path/to/program
kde-cli-toolsi nie w, $PATHale w /usr/lib/x86_64-linux-gnu/libexec/kf5/kdesu(oczywiście w zależności od architektury).
W ten sposób wykonane w suse / opensuse: http://www.novell.com/support/kb/doc.php?id=7003743
Wystarczy zmodyfikować /etc/pam.d/su, dodając opcję (pogrubienie):
sesja opcjonalna pam_xauth.so systemuser = 1
Następnie możesz przełączać za pomocą su bez -:
su user2
i uruchom aplikację graficznie.
W przypadku GNOME (i bez żadnego środowiska graficznego, używam go tylko z icewm) gksu:
gksu -u username program
.Xauthoritypliku w katalogu domowym użytkownika2. Problem 2: Jakoś iz jakiegoś powodu nie rozumiem, po tymsu, XAUTHORITY przechowuje ścieżkę do pliku user1. Ale ten plik nie jest czytelny dla użytkownika2.