Xhost и dbus-launch [решено]

Как же тяжело здесь воспринимают все новое и непривычное... Уже не первый раз убеждаюсь.

vasek, а ничего, что это простая настройка иксов? Как и многие другие. Хочешь включай, а хочешь отключай.... :)
А ничего, что root в системе может поменять все настройки? Это не что-то сверхъестественное, чего даже root изменить не может. :))
vasek, ты сделал мой день. :)))
-_o
Как же тяжело здесь воспринимают все новое и непривычное…
Воспринимается нормально, если это интересно и полезно.
-_o
Как-то раньше было так, что пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение. А теперь и без разрешения запускаются.
Не знаю, читал об этом, но никогда не использовал xhost в этих целях - так как есть хороший совет не трогать xhost и оставить его в покое. Это рудимент.
Есть другой хороший способ аутентификации, основанный на magic cookie (xauth).
Немного теории.
В части возможности запуска графических приложений и др. от разных пользователей - эти приложения может запускать любой, кто знает "magic cookie" (волшебная печенька), код, который присваивается/дается юзеру при авторизации и прописывается в файле ~/.Xauthority. Посмотреть можно так - xauth list
Но интересно то, что в нормальной системе (по дефолту) root видит/знает этот код, а потому можно запустить любое GUI приложение через sudo.
Чтобы убедиться в этом, нужно просто посмотреть и сравнить выводы
xauth list и sudo xauth list
echo $XAUTHORITY и sudo echo $XAUTHORITY
Чтобы запретить это, нужно чтобы root не знал «секрет».
Это достигается прописыванием в ~/.xinitrc строчки unset ~/.Xauthority.
После этого все выводы sudo xauth list, sudo echo $XAUTHORITY будут пустые, а значит не возможно будет запустить GUI приложение через sudo.

Но это можно легко обойти, просто нужно сообщить root этот код («волшебную печеньку»). Это можно проделать двумя способами, прямо в текущем сеансе - используя xauth или прямо в лоб - прописать этот код в Xauthority.

EDIT 1 - что я и пытался довести до тебя - что же это за запрет, если он мгновенно обходится, а значит это все лишнее и не нужное.
Ошибки не исчезают с опытом - они просто умнеют
Ребята, особенно товарищ из страны Мигунов, хватит здесь лысого гонять. xauth, да и XAUTHORITY имеет мало общего с системой безопасности. Ну, разве что, в целях экономии ресурсов графической системы, что бы кто-то удаленно, шутки ради, не вывел тебе на экран xeye. Реальные права на конкретной машине все равно контролируются стандартными методами авторизации. То есть, юзер, запустивший на твоем x-сервере окошко приложения, все равно не будет иметь доступ например, к файловой системе, если у него нет таких прав.
Поэтому вообще непонятен предмет спора. И особенно причина паранойи.
Всем спасибо, было весело, вопрос решен еще три страницы назад, дальше без меня... ;)
ghost
Не знаю к каких пор пропали проблемы с авторизацией на X.
А они были? Я уже года три просто живу с openbox под root и никаких глобальных проблем не заметил. Есть только проблемы, которые создают не в меру бдительные приложения (vlc, к примеру).
(А что касается безопасности, то смешно надеяться, что сетевые плюшки, вроде авторизации и прав доступа, могут обеспечить локальную безопасность. Защиту от локального похищения инфы обеспечивает только шифрование, а защиты от локального разрушения информации не существует.)
Да... Совсем забыл поблагодарить akorop. Без твоей подсказки на второй странице, я бы не решил вопрос на третьей. СПАСИБО!

И тут теперь еще не хватает ̶н̶е̶к̶р̶о̶л̶о̶г̶а̶ ̶ ̶ эпилога для начинающих арчеводов...

1. Никогда не читай https://wiki.archlinux.org/index.php/security. Это всё туфта.
2. Никогда не задавай вопросов об этом на форумах. Иначе тебя сочтут больным.
3. Никогда не делай то, что можно отменить. Это все бесполезно и, следовательно, не нужно.

Почувствуй вкус Дзен... ;))
Спрашивать можно, подскажут, где что почитать.
А вы сразу какую-то панику на ровном месте устроили с обвинением разработчиков во всех смертных грехах и некомпетентности.
Вот этого не надо делать.
Не могу не ответить.
Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу.
-_o
Если в стране Курящих неизвестно что, ошибочно приняли за "панику на ровном месте с обвинением разработчиков во всех смертных грехах и некомпетентности" вот эту цитату одного из разработчиков GNOME, то страна Мигунов вынуждена вас разочаровать: не наша эта "паника" и обвинения. Arch Wiki. Первый абзац. Так что ваша нота не по адресу.
бред.
Ошибки в тексте-неповторимый стиль автора©
indeviral, и там тоже? :)) Какие же страшные выводы может сделать начинающий пользователь Arch Linux...
 
Зарегистрироваться или войдите чтобы оставить сообщение.