On Thu, Jul 05, 2018 at 06:15:31PM +0700, Антон Мидюков wrote:
[...]
> Чтобы можно было запустить через графический helper, нужно дать такое 
> разрешение:
> 
> xhost +si:localuser:root
> 
> Соответственно, вопрос. Никто не будет возражать, если я пропатчу 
> xdg-su, чтобы давалось это разрешение на время запуска и работы 
> программы при использовании графического хелпера, а затем убиралось 
> командой, после завершения работы с ней:
> 
> xhost -si:localuser:root

Если добавление si:localuser:root небезопасно, то я категорически против.
Если добавление si:localuser:root безопасно, то почему это не сделано
по умолчанию, и зачем это добавление отменять?
Кстати, вы вряд ли сможете реализовать race free cleanup.
> 
> И можно ли считать такое разрешение дырой в безопасности, учитывая, что 
> пользователь сам себе может дать его?

Одно дело "может", другое дело "делает информированный выбор".


-- 
ldv