Xhost и dbus-launch [решено]

-_o	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Как же тяжело здесь воспринимают все новое и непривычное... Уже не первый раз убеждаюсь. vasek, а ничего, что это простая настройка иксов? Как и многие другие. Хочешь включай, а хочешь отключай.... :) А ничего, что root в системе может поменять все настройки? Это не что-то сверхъестественное, чего даже root изменить не может. :)) vasek, ты сделал мой день. :)))

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Сообщения: 251

Участник с: 13 января 2018

Как же тяжело здесь воспринимают все новое и непривычное... Уже не первый раз убеждаюсь.

vasek, а ничего, что это простая настройка иксов? Как и многие другие. Хочешь включай, а хочешь отключай.... :)
А ничего, что root в системе может поменять все настройки? Это не что-то сверхъестественное, чего даже root изменить не может. :))
vasek, ты сделал мой день. :)))

vasek	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 47 Сообщения: 11854 Участник с: 17 февраля 2013	-_o Как же тяжело здесь воспринимают все новое и непривычное… Воспринимается нормально, если это интересно и полезно. -_o Как-то раньше было так, что пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение. А теперь и без разрешения запускаются. Не знаю, читал об этом, но никогда не использовал xhost в этих целях - так как есть хороший совет не трогать xhost и оставить его в покое. Это рудимент. Есть другой хороший способ аутентификации, основанный на magic cookie (xauth). Немного теории. В части возможности запуска графических приложений и др. от разных пользователей - эти приложения может запускать любой, кто знает "magic cookie" (волшебная печенька), код, который присваивается/дается юзеру при авторизации и прописывается в файле ~/.Xauthority. Посмотреть можно так - xauth list Но интересно то, что в нормальной системе (по дефолту) root видит/знает этот код, а потому можно запустить любое GUI приложение через sudo. Чтобы убедиться в этом, нужно просто посмотреть и сравнить выводы xauth list и sudo xauth list echo $XAUTHORITY и sudo echo $XAUTHORITY Чтобы запретить это, нужно чтобы root не знал «секрет». Это достигается прописыванием в ~/.xinitrc строчки unset ~/.Xauthority. После этого все выводы sudo xauth list, sudo echo $XAUTHORITY будут пустые, а значит не возможно будет запустить GUI приложение через sudo. Но это можно легко обойти, просто нужно сообщить root этот код («волшебную печеньку»). Это можно проделать двумя способами, прямо в текущем сеансе - используя xauth или прямо в лоб - прописать этот код в Xauthority. EDIT 1 - что я и пытался довести до тебя - что же это за запрет, если он мгновенно обходится, а значит это все лишнее и не нужное. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 47

Сообщения: 11854

Участник с: 17 февраля 2013

-_o
Как же тяжело здесь воспринимают все новое и непривычное…

Воспринимается нормально, если это интересно и полезно.

-_o
Как-то раньше было так, что пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение. А теперь и без разрешения запускаются.

Не знаю, читал об этом, но никогда не использовал xhost в этих целях - так как есть хороший совет не трогать xhost и оставить его в покое. Это рудимент.
Есть другой хороший способ аутентификации, основанный на magic cookie (xauth).
Немного теории.
В части возможности запуска графических приложений и др. от разных пользователей - эти приложения может запускать любой, кто знает "magic cookie" (волшебная печенька), код, который присваивается/дается юзеру при авторизации и прописывается в файле ~/.Xauthority. Посмотреть можно так - xauth list
Но интересно то, что в нормальной системе (по дефолту) root видит/знает этот код, а потому можно запустить любое GUI приложение через sudo.
Чтобы убедиться в этом, нужно просто посмотреть и сравнить выводы
xauth list и sudo xauth list
echo $XAUTHORITY и sudo echo $XAUTHORITY
Чтобы запретить это, нужно чтобы root не знал «секрет».
Это достигается прописыванием в ~/.xinitrc строчки unset ~/.Xauthority.
После этого все выводы sudo xauth list, sudo echo $XAUTHORITY будут пустые, а значит не возможно будет запустить GUI приложение через sudo.

Но это можно легко обойти, просто нужно сообщить root этот код («волшебную печеньку»). Это можно проделать двумя способами, прямо в текущем сеансе - используя xauth или прямо в лоб - прописать этот код в Xauthority.

EDIT 1 - что я и пытался довести до тебя - что же это за запрет, если он мгновенно обходится, а значит это все лишнее и не нужное.

Ошибки не исчезают с опытом - они просто умнеют

kurych	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Ребята, особенно товарищ из страны Мигунов, хватит здесь лысого гонять. xauth, да и XAUTHORITY имеет мало общего с системой безопасности. Ну, разве что, в целях экономии ресурсов графической системы, что бы кто-то удаленно, шутки ради, не вывел тебе на экран xeye. Реальные права на конкретной машине все равно контролируются стандартными методами авторизации. То есть, юзер, запустивший на твоем x-сервере окошко приложения, все равно не будет иметь доступ например, к файловой системе, если у него нет таких прав. Поэтому вообще непонятен предмет спора. И особенно причина паранойи.

kurych

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 0

Сообщения: 1395

Участник с: 06 ноября 2011

Ребята, особенно товарищ из страны Мигунов, хватит здесь лысого гонять. xauth, да и XAUTHORITY имеет мало общего с системой безопасности. Ну, разве что, в целях экономии ресурсов графической системы, что бы кто-то удаленно, шутки ради, не вывел тебе на экран xeye. Реальные права на конкретной машине все равно контролируются стандартными методами авторизации. То есть, юзер, запустивший на твоем x-сервере окошко приложения, все равно не будет иметь доступ например, к файловой системе, если у него нет таких прав.
Поэтому вообще непонятен предмет спора. И особенно причина паранойи.

-_o	# 6 лет, 6 месяцев назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Всем спасибо, было весело, вопрос решен еще три страницы назад, дальше без меня... ;)

akorop	# 6 лет, 6 месяцев назад
Темы: 111 Сообщения: 1756 Участник с: 29 февраля 2012	ghost Не знаю к каких пор пропали проблемы с авторизацией на X. А они были? Я уже года три просто живу с openbox под root и никаких глобальных проблем не заметил. Есть только проблемы, которые создают не в меру бдительные приложения (vlc, к примеру). (А что касается безопасности, то смешно надеяться, что сетевые плюшки, вроде авторизации и прав доступа, могут обеспечить локальную безопасность. Защиту от локального похищения инфы обеспечивает только шифрование, а защиты от локального разрушения информации не существует.)

akorop

# 6 лет, 6 месяцев назад

Темы: 111

Сообщения: 1756

Участник с: 29 февраля 2012

ghost
Не знаю к каких пор пропали проблемы с авторизацией на X.

А они были? Я уже года три просто живу с openbox под root и никаких глобальных проблем не заметил. Есть только проблемы, которые создают не в меру бдительные приложения (vlc, к примеру).
(А что касается безопасности, то смешно надеяться, что сетевые плюшки, вроде авторизации и прав доступа, могут обеспечить локальную безопасность. Защиту от локального похищения инфы обеспечивает только шифрование, а защиты от локального разрушения информации не существует.)

-_o	# 6 лет, 6 месяцев назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Да... Совсем забыл поблагодарить akorop. Без твоей подсказки на второй странице, я бы не решил вопрос на третьей. СПАСИБО! И тут теперь еще не хватает ̶н̶е̶к̶р̶о̶л̶о̶г̶а̶ ̶ ̶ эпилога для начинающих арчеводов... 1. Никогда не читай https://wiki.archlinux.org/index.php/security. Это всё туфта. 2. Никогда не задавай вопросов об этом на форумах. Иначе тебя сочтут больным. 3. Никогда не делай то, что можно отменить. Это все бесполезно и, следовательно, не нужно. Почувствуй вкус Дзен... ;))

-_o

# 6 лет, 6 месяцев назад

Темы: 3

Сообщения: 251

Участник с: 13 января 2018

Да... Совсем забыл поблагодарить akorop. Без твоей подсказки на второй странице, я бы не решил вопрос на третьей. СПАСИБО!

И тут теперь еще не хватает ̶н̶е̶к̶р̶о̶л̶о̶г̶а̶ ̶ ̶ эпилога для начинающих арчеводов...

1. Никогда не читай https://wiki.archlinux.org/index.php/security. Это всё туфта.
2. Никогда не задавай вопросов об этом на форумах. Иначе тебя сочтут больным.
3. Никогда не делай то, что можно отменить. Это все бесполезно и, следовательно, не нужно.

Почувствуй вкус Дзен... ;))

kurych	# 6 лет, 6 месяцев назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Спрашивать можно, подскажут, где что почитать. А вы сразу какую-то панику на ровном месте устроили с обвинением разработчиков во всех смертных грехах и некомпетентности. Вот этого не надо делать.

-_o	# 6 лет, 6 месяцев назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Не могу не ответить. Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу.

-_o

# 6 лет, 6 месяцев назад

Темы: 3

Сообщения: 251

Участник с: 13 января 2018

Не могу не ответить.
Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу.

indeviral	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 39 Сообщения: 3204 Участник с: 10 августа 2013	-_o Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу. бред. Ошибки в тексте-неповторимый стиль автора©

indeviral

# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 39

Сообщения: 3204

Участник с: 10 августа 2013

-_o
Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу.

бред.

-_o	# 6 лет, 6 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	indeviral, и там тоже? :)) Какие же страшные выводы может сделать начинающий пользователь Arch Linux...