私はiptablesを使用して、子供のLinuxアカウントからすべてのインターネットトラフィックをブロックします。時々私は彼らが1つまたは別のプログラムを使用したいと思います。この場合、sudoersを介して他の(無制限)ユーザーとしてプログラムを実行できるようにします。今回は、次のようにズーム機能を使用しようとしました。
kiddy ALL= (daddy) NOPASSWD: /usr/bin/zoom
ただし、実行するとsudo -u daddy /usr/bin/zoom
出力は生成されず、エラーも生成されませんが、サイズ変更は開始されません。コマンドラインからZoomを実行すると、GUIクライアントが起動しますが、明らかに接続に失敗します(予想される結果です)。どうなりますか?
次の行を追加するgnome-terminal
のではなく、同じ操作を実行しようとすると、次のエラーが発生します。zoom
visudo
kiddy ALL= (daddy) NOPASSWD: /usr/bin/gnome-terminal
sudo -u daddy /usr/bin/gnome-terminal
No protocol specified
Unable to init server: Could not connect: Connection refused
# Failed to parse arguments: Cannot open display:
ユーザーとしてGnomeにログインすると上記の問題がすべて発生しますkiddy
が、Gnomeにユーザーとしてログインしてからdaddy
端末で実行するsu kiddy
と、すべてsudo -u daddy gnome-terminal
がsudo -u daddy zoom
うまく機能します。
ファイルに追加の変数を追加する必要がありますかsudoers
?では、どの変数が必要で、その値は何であるかをどのように決定しますか?
env
guest
以下は、一般的なDebian 10ユーザー(この場合は名前付き)の出力です。
SHELL=/bin/bash
SESSION_MANAGER=local/debox:@/tmp/.ICE-unix/2055,unix/debox:/tmp/.ICE-unix/2055
QT_ACCESSIBILITY=1
COLORTERM=truecolor
XDG_MENU_PREFIX=gnome-
GNOME_DESKTOP_SESSION_ID=this-is-deprecated
LANGUAGE=en_IL:en
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh
DESKTOP_SESSION=gnome
GTK_MODULES=gail:atk-bridge
XDG_SEAT=seat0
PWD=/home/guest
XDG_SESSION_DESKTOP=gnome
LOGNAME=guest
XDG_SESSION_TYPE=wayland
GJS_DEBUG_TOPICS=JS ERROR;JS LOG
GDM_LANG=en_IL
HOME=/home/guest
USERNAME=guest
LANG=en_IL
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
XDG_CURRENT_DESKTOP=GNOME
VTE_VERSION=5402
WAYLAND_DISPLAY=wayland-0
GNOME_TERMINAL_SCREEN=/org/gnome/Terminal/screen/a2088f04_0308_4c60_9882_a758f7d883b8
GJS_DEBUG_OUTPUT=stderr
XDG_SESSION_CLASS=user
TERM=xterm-256color
USER=guest
GNOME_TERMINAL_SERVICE=:1.59
DISPLAY=:0
SHLVL=1
XDG_VTNR=2
XDG_SESSION_ID=4
XDG_RUNTIME_DIR=/run/user/1001
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
GDMSESSION=gnome
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1001/bus
_=/usr/bin/env
答え1
おそらく、どのモニタを使うべきかわからないかもしれません。 sudo で始まると、新しいシェルが作成されます。シェルがディスプレイを認識しない場合、ウィンドウを開くことができません。
これをテストするには、同じ方法でsudo xterm(/usr/bin/xterm)を試してください。開いていますか?そうでなければ、ここで何かをすることもできます。
sudo行にVAR = DISPLAYを追加するのと同じくらい簡単です。詳細については、sudo のマニュアルページを参照してください。
答え2
初期GUIセッションがuserとして実行されている場合、kiddy
セッションキーファイル(~/.Xauthority
環境変数が指すユーザー定義の場所にありますXAUTHORITY
)はそのユーザーが所有し、デフォルトで他の人が読み取ることはできません。
ルートを使用している場合、sudo
ルートは通常すべてを読み取ることができるため問題はありません(ユーザーのホームディレクトリがroot_squash
オプションセットを使用してエクスポートされたNFS共有にない場合)。変数が元のセッションで保存されていることをexport XAUTHORITY=/home/$SUDO_USER/.Xauthority
確認してください。DISPLAY
ただし、root以外のアカウントに切り替えるのに慣れていてsudo -u daddy
GUIプログラムを使用したい場合は、自動的に処理できるGUIバージョンのユーザー切り替えツール(gksu
Gnomeやkdesudo
KDEなど)を使用するか、2番目のユーザーアカウントセッションキー(またはそのコピー)に直接アクセスできます。
GUIユーザー切り替えツールは、ユーザー補助に必要な環境変数や中国語/文字入力方法に必要ななど、より複雑な文字入力方法など、基本的なGUIセッションアクセス以上の操作を適切に処理できるため、推奨される方法です。 。たとえば、日本語/韓国語の文字入力です。
一部のディストリビューションにはPAMモジュールやその他の事前設定があり、さらに自動化される可能性があります。
ただし、これを手動で実行する必要がある場合は、GUIにログインしていないユーザーとしてGUIプログラムを実行する基本機能を取得するには、次の3つの作業を実行する必要があります。
- ターゲットユーザーはXセッションキーファイルのアクセス可能なコピーを持っている必要があります(または元のセッションの変数で指す必要があります
~/.Xauthority
)。XAUTHORITY
セキュリティが懸念される場合は、ソースユーザーとターゲットユーザーのみがファイルにアクセスできる必要があります。 XAUTHORITY
ターゲット・ユーザーには、X セッション・キー・ファイルのアクセス可能なコピーを指す変数が必要になる場合があります (そのコピーがターゲット・~/.Xauthority
ユーザーの場所に配置されていない場合)。- ターゲットユーザーは
DISPLAY
元のセッションと同じ変数値を持つ必要があります
gksu
削除されたと思います。。sudo
必要な環境変数を保存するには、/etc/sudoers.d/zoomforkiddy
次の内容でファイルを作成できます(visudo -f /etc/sudoers.d/zoomforkiddy
作成/編集することをお勧めします)。
Defaults:kiddy env_keep += "DISPLAY XAUTHORITY"
kiddy ALL = (daddy) NOPASSWD: /usr/bin/zoom
これにより、必要な環境変数が渡され、パスワードのないアクセスのみがsudo
許可されます。kiddy
/usr/bin/zoom
次に、ユーザーグループdaddy
に追加します。kiddy
sudo usermod -a -G kiddy daddy
グループアクセス権が設定されると、daddy
ファイルへのアクセスが許可されます。kiddy
これで、kiddy
Xauthorityファイルをアクセス可能な場所にコピーしてアクセスできるようにdaddy
権限を設定できるようになりました。daddy
たとえば、スクリプトを生成して/usr/local/bin/zoom_for_kiddy
実行可能ファイル()に設定しますchmod a+rx /usr/local/bin/zoom_for_kiddy
。
#!/bin/sh
if [ "$XAUTHORITY" = "" ]
then
XAUTHORITY="$HOME/.Xauthority"
fi
if [ -f "$XAUTHORITY" ]
then
cp "$XAUTHORITY" /tmp/zoom_for_kiddy_xauth
trap "rm -f /tmp/zoom_for_kiddy_xauth" EXIT
chmod 640 /tmp/zoom_for_kiddy_xauth
export XAUTHORITY=/tmp/zoom_for_kiddy_xauth
sudo -u daddy /usr/bin/zoom "$@"
else
echo "ERROR: cannot find the Xauthority file" >&2
fi
スクリプトはkiddy
Xauthorityファイルをコピーしdaddy
、権限を設定し、XAUTHORITY環境変数を使用可能な値に設定してdaddy
実行/usr/bin/zoom
を開始しますsudo
。終了時にzoom
スクリプトを実行するシェルが終了すると、Xauthorityファイルのコピーは自動的に削除されます。
これで、実際のデスクトップ環境の代わりにkiddy
デスクトップ環境を調整して使用できます。すべてのコマンドパラメータは、そのままスクリプトを介して実際のパラメータに渡されます。/usr/local/bin/zoom_for_kiddy
/usr/bin/zoom
zoom
答え3
ego
同様のユースケースのために(Alter Ego)を作成しました。 egoを使用すると、他のローカルユーザーとしてプログラムを起動できます。 X11の設定に加えて、WaylandとPulseAudioソケットの共有も処理します。https://github.com/intgr/ego
ego --sudo -u daddy app
したがって、orを実行するだけego -u daddy zoom
です(一部のアプリケーションは--sudoモードで失敗します)。
問題が発生した場合は、GitHubに問題を提出してください。