sudo:他のユーザーとしてZoomを実行する

sudo:他のユーザーとしてZoomを実行する

私はiptablesを使用して、子供のLinuxアカウントからすべてのインターネットトラフィックをブロックします。時々私は彼らが1つまたは別のプログラムを使用したいと思います。この場合、sudoersを介して他の(無制限)ユーザーとしてプログラムを実行できるようにします。今回は、次のようにズーム機能を使用しようとしました。

kiddy ALL= (daddy) NOPASSWD: /usr/bin/zoom

ただし、実行するとsudo -u daddy /usr/bin/zoom出力は生成されず、エラーも生成されませんが、サイズ変更は開始されません。コマンドラインからZoomを実行すると、GUIクライアントが起動しますが、明らかに接続に失敗します(予想される結果です)。どうなりますか?

次の行を追加するgnome-terminalのではなく、同じ操作を実行しようとすると、次のエラーが発生します。zoomvisudokiddy ALL= (daddy) NOPASSWD: /usr/bin/gnome-terminalsudo -u daddy /usr/bin/gnome-terminal

No protocol specified
Unable to init server: Could not connect: Connection refused
# Failed to parse arguments: Cannot open display:

ユーザーとしてGnomeにログインすると上記の問題がすべて発生しますkiddyが、Gnomeにユーザーとしてログインしてからdaddy端末で実行するsu kiddyと、すべてsudo -u daddy gnome-terminalsudo -u daddy zoomうまく機能します。

ファイルに追加の変数を追加する必要がありますかsudoers?では、どの変数が必要で、その値は何であるかをどのように決定しますか?

envguest以下は、一般的なDebian 10ユーザー(この場合は名前付き)の出力です。

SHELL=/bin/bash
SESSION_MANAGER=local/debox:@/tmp/.ICE-unix/2055,unix/debox:/tmp/.ICE-unix/2055
QT_ACCESSIBILITY=1
COLORTERM=truecolor
XDG_MENU_PREFIX=gnome-
GNOME_DESKTOP_SESSION_ID=this-is-deprecated
LANGUAGE=en_IL:en
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh
DESKTOP_SESSION=gnome
GTK_MODULES=gail:atk-bridge
XDG_SEAT=seat0
PWD=/home/guest
XDG_SESSION_DESKTOP=gnome
LOGNAME=guest
XDG_SESSION_TYPE=wayland
GJS_DEBUG_TOPICS=JS ERROR;JS LOG
GDM_LANG=en_IL
HOME=/home/guest
USERNAME=guest
LANG=en_IL
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
XDG_CURRENT_DESKTOP=GNOME
VTE_VERSION=5402
WAYLAND_DISPLAY=wayland-0
GNOME_TERMINAL_SCREEN=/org/gnome/Terminal/screen/a2088f04_0308_4c60_9882_a758f7d883b8
GJS_DEBUG_OUTPUT=stderr
XDG_SESSION_CLASS=user
TERM=xterm-256color
USER=guest
GNOME_TERMINAL_SERVICE=:1.59
DISPLAY=:0
SHLVL=1
XDG_VTNR=2
XDG_SESSION_ID=4
XDG_RUNTIME_DIR=/run/user/1001
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
GDMSESSION=gnome
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1001/bus
_=/usr/bin/env

答え1

おそらく、どのモニタを使うべきかわからないかもしれません。 sudo で始まると、新しいシェルが作成されます。シェルがディスプレイを認識しない場合、ウィンドウを開くことができません。

これをテストするには、同じ方法でsudo xterm(/usr/bin/xterm)を試してください。開いていますか?そうでなければ、ここで何かをすることもできます。

sudo行にVAR = DISPLAYを追加するのと同じくらい簡単です。詳細については、sudo のマニュアルページを参照してください。

答え2

初期GUIセッションがuserとして実行されている場合、kiddyセッションキーファイル(~/.Xauthority環境変数が指すユーザー定義の場所にありますXAUTHORITY)はそのユーザーが所有し、デフォルトで他の人が読み取ることはできません。

ルートを使用している場合、sudoルートは通常すべてを読み取ることができるため問題はありません(ユーザーのホームディレクトリがroot_squashオプションセットを使用してエクスポートされたNFS共有にない場合)。変数が元のセッションで保存されていることをexport XAUTHORITY=/home/$SUDO_USER/.Xauthority確認してください。DISPLAY

ただし、root以外のアカウントに切り替えるのに慣れていてsudo -u daddyGUIプログラムを使用したい場合は、自動的に処理できるGUIバージョンのユーザー切り替えツール(gksuGnomeやkdesudoKDEなど)を使用するか、2番目のユーザーアカウントセッションキー(またはそのコピー)に直接アクセスできます。

GUIユーザー切り替えツールは、ユーザー補助に必要な環境変数や中国語/文字入力方法に必要ななど、より複雑な文字入力方法など、基本的なGUIセッションアクセス以上の操作を適切に処理できるため、推奨される方法です。 。たとえば、日本語/韓国語の文字入力です。

一部のディストリビューションにはPAMモジュールやその他の事前設定があり、さらに自動化される可能性があります。

ただし、これを手動で実行する必要がある場合は、GUIにログインしていないユーザーとしてGUIプログラムを実行する基本機能を取得するには、次の3つの作業を実行する必要があります。

  • ターゲットユーザーはXセッションキーファイルのアクセス可能なコピーを持っている必要があります(または元のセッションの変数で指す必要があります~/.Xauthority)。XAUTHORITYセキュリティが懸念される場合は、ソースユーザーとターゲットユーザーのみがファイルにアクセスできる必要があります。
  • XAUTHORITYターゲット・ユーザーには、X セッション・キー・ファイルのアクセス可能なコピーを指す変数が必要になる場合があります (そのコピーがターゲット・~/.Xauthorityユーザーの場所に配置されていない場合)。
  • ターゲットユーザーはDISPLAY元のセッションと同じ変数値を持つ必要があります

gksu削除されたと思います。sudo必要な環境変数を保存するには、/etc/sudoers.d/zoomforkiddy次の内容でファイルを作成できます(visudo -f /etc/sudoers.d/zoomforkiddy作成/編集することをお勧めします)。

Defaults:kiddy env_keep += "DISPLAY XAUTHORITY"
kiddy ALL = (daddy) NOPASSWD: /usr/bin/zoom

これにより、必要な環境変数が渡され、パスワードのないアクセスのみがsudo許可されます。kiddy/usr/bin/zoom

次に、ユーザーグループdaddyに追加します。kiddy

sudo usermod -a -G kiddy daddy

グループアクセス権が設定されると、daddyファイルへのアクセスが許可されます。kiddyこれで、kiddyXauthorityファイルをアクセス可能な場所にコピーしてアクセスできるようにdaddy権限を設定できるようになりました。daddy

たとえば、スクリプトを生成して/usr/local/bin/zoom_for_kiddy実行可能ファイル()に設定しますchmod a+rx /usr/local/bin/zoom_for_kiddy

#!/bin/sh
if [ "$XAUTHORITY" = "" ]
then
    XAUTHORITY="$HOME/.Xauthority"
fi
if [ -f "$XAUTHORITY" ]
then
    cp "$XAUTHORITY" /tmp/zoom_for_kiddy_xauth
    trap "rm -f /tmp/zoom_for_kiddy_xauth" EXIT
    chmod 640 /tmp/zoom_for_kiddy_xauth

    export XAUTHORITY=/tmp/zoom_for_kiddy_xauth
    sudo -u daddy /usr/bin/zoom "$@"
else
    echo "ERROR: cannot find the Xauthority file" >&2
fi

スクリプトはkiddyXauthorityファイルをコピーしdaddy、権限を設定し、XAUTHORITY環境変数を使用可能な値に設定してdaddy実行/usr/bin/zoomを開始しますsudo。終了時にzoomスクリプトを実行するシェルが終了すると、Xauthorityファイルのコピーは自動的に削除されます。

これで、実際のデスクトップ環境の代わりにkiddyデスクトップ環境を調整して使用できます。すべてのコマンドパラメータは、そのままスクリプトを介して実際のパラメータに渡されます。/usr/local/bin/zoom_for_kiddy/usr/bin/zoomzoom

答え3

ego同様のユースケースのために(Alter Ego)を作成しました。 egoを使用すると、他のローカルユーザーとしてプログラムを起動できます。 X11の設定に加えて、WaylandとPulseAudioソケットの共有も処理します。https://github.com/intgr/ego

ego --sudo -u daddy appしたがって、orを実行するだけego -u daddy zoomです(一部のアプリケーションは--sudoモードで失敗します)。

問題が発生した場合は、GitHubに問題を提出してください。

関連情報