From: Aleksei Nikiforov <darktemplar@basealt.ru>
To: devel@lists.altlinux.org
Subject: Re: [devel] xdg-su и wayland
Date: Tue, 10 Jul 2018 12:02:12 +0300
Message-ID: <dd1436eb-a476-3891-b23a-3d110039ae1c@basealt.ru> (raw)
In-Reply-To: <1347be9c-8317-c003-13f0-0d80c1a0a516@ya.ru>
Здравствуйте.
05.07.2018 14:15, Антон Мидюков пишет:
> Добрый день!
>
> Некоторые приложения используют до сих пор для получения прав root
> запуск через xdg-su. На wayland их запустить не получится, если
> установлен графический helper (beesu или gksu, например). Если они не
> установлены, то через
>
> xterm -e 'su -c cmd'
>
> запустится, но будет использовать переменные пользователя, а не root
> (это же тоже нехорошо, работать из-под root с переменными
> пользователя?). И не запустится, если программа запускается через
> consolehelper, который в wayland не работает. (я xdg-su рекомендую как
> объезд неработающего consolehelper для gnome3 стартеркита).
>
> Чтобы можно было запустить через графический helper, нужно дать такое
> разрешение:
>
> xhost +si:localuser:root
>
> Соответственно, вопрос. Никто не будет возражать, если я пропатчу
> xdg-su, чтобы давалось это разрешение на время запуска и работы
> программы при использовании графического хелпера, а затем убиралось
> командой, после завершения работы с ней:
>
> xhost -si:localuser:root
>
> И можно ли считать такое разрешение дырой в безопасности, учитывая, что
> пользователь сам себе может дать его?
>
Не могу сказать насчёт безопасности добавления таких разрешений, но
явное удаление мне не нравится тем, что если пользователь ранее выдал
такое разрешение или настроил его автоматическую выдачу, то такое
удаление поломает ожидаемое пользователем поведение.
С уважением,
Алексей Никифоров
prev parent reply other threads:[~2018-07-10 9:02 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-07-05 11:15 Антон Мидюков
2018-07-05 11:23 ` Dmitry V. Levin
2018-07-05 11:31 ` Alexey V. Vissarionov
2018-07-05 13:36 ` Антон Мидюков
2018-07-10 9:02 ` Aleksei Nikiforov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=dd1436eb-a476-3891-b23a-3d110039ae1c@basealt.ru \
--to=darktemplar@basealt.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git