저는 iptables를 사용하여 자녀의 Linux 계정에서 모든 인터넷 트래픽을 차단합니다. 때때로 나는 그들이 하나 또는 다른 프로그램을 사용하기를 원합니다. 이 경우 sudoers를 통해 다른 (무제한) 사용자로 프로그램을 실행할 수 있도록 허용합니다. 이번에는 다음과 같이 확대/축소 기능을 사용하도록 시도했습니다.
kiddy ALL= (daddy) NOPASSWD: /usr/bin/zoom
그러나 실행하면 sudo -u daddy /usr/bin/zoom출력이 생성되지 않고 오류도 생성되지 않지만 크기 조정이 시작되지 않습니다. 명령줄에서 Zoom을 실행하면 GUI 클라이언트가 시작되지만 분명히 연결에 실패합니다(예상된 결과입니다). 어떻게 되어가나요?
다음 줄을 추가하는 gnome-terminal대신 동일한 작업을 수행하려고 하면 다음과 같은 오류가 발생합니다 .zoomvisudokiddy ALL= (daddy) NOPASSWD: /usr/bin/gnome-terminalsudo -u daddy /usr/bin/gnome-terminal
No protocol specified
Unable to init server: Could not connect: Connection refused
# Failed to parse arguments: Cannot open display:
사용자로 Gnome에 로그인하면 위의 모든 문제가 발생 kiddy하지만 Gnome에 사용자로 로그인한 daddy다음 터미널에서 실행 su kiddy하면 모든 sudo -u daddy gnome-terminal것이 sudo -u daddy zoom잘 작동합니다.
파일에 추가 변수를 추가해야 합니까 sudoers? 그렇다면 어떤 변수가 필요하고 그 값은 무엇인지 어떻게 결정합니까?
envguest다음은 일반적인 Debian 10 사용자(이 경우 이름이 지정됨)의 출력 입니다 .
SHELL=/bin/bash
SESSION_MANAGER=local/debox:@/tmp/.ICE-unix/2055,unix/debox:/tmp/.ICE-unix/2055
QT_ACCESSIBILITY=1
COLORTERM=truecolor
XDG_MENU_PREFIX=gnome-
GNOME_DESKTOP_SESSION_ID=this-is-deprecated
LANGUAGE=en_IL:en
SSH_AUTH_SOCK=/run/user/1001/keyring/ssh
DESKTOP_SESSION=gnome
GTK_MODULES=gail:atk-bridge
XDG_SEAT=seat0
PWD=/home/guest
XDG_SESSION_DESKTOP=gnome
LOGNAME=guest
XDG_SESSION_TYPE=wayland
GJS_DEBUG_TOPICS=JS ERROR;JS LOG
GDM_LANG=en_IL
HOME=/home/guest
USERNAME=guest
LANG=en_IL
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:
XDG_CURRENT_DESKTOP=GNOME
VTE_VERSION=5402
WAYLAND_DISPLAY=wayland-0
GNOME_TERMINAL_SCREEN=/org/gnome/Terminal/screen/a2088f04_0308_4c60_9882_a758f7d883b8
GJS_DEBUG_OUTPUT=stderr
XDG_SESSION_CLASS=user
TERM=xterm-256color
USER=guest
GNOME_TERMINAL_SERVICE=:1.59
DISPLAY=:0
SHLVL=1
XDG_VTNR=2
XDG_SESSION_ID=4
XDG_RUNTIME_DIR=/run/user/1001
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
GDMSESSION=gnome
DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1001/bus
_=/usr/bin/env
답변1
어쩌면 어떤 모니터를 사용해야 할지 모를 수도 있습니다. sudo로 시작하면 새로운 쉘이 생성됩니다. 쉘이 디스플레이를 인식하지 못하면 창을 열 수 없습니다.
이를 테스트하려면 동일한 방식으로 sudo xterm(/usr/bin/xterm)을 시도해 보십시오. 열려 있나요? 그렇지 않다면 여기서 뭔가를 할 수도 있습니다.
sudo 줄에 VAR=DISPLAY를 추가하는 것만큼 간단할 수 있습니다. 자세한 내용은 sudo 매뉴얼 페이지를 참조하십시오.
답변2
초기 GUI 세션이 user 로 실행되는 경우 kiddy세션 키 파일( ~/.Xauthority환경 변수가 가리키는 사용자 정의 위치에 위치 XAUTHORITY)은 해당 사용자가 소유하며 기본적으로 다른 사람이 읽을 수 없습니다.
루트를 사용하는 경우 sudo루트는 일반적으로 모든 것을 읽을 수 있기 때문에 문제가 되지 않습니다(사용자의 홈 디렉터리가 root_squash옵션 세트를 사용하여 내보낸 NFS 공유에 있지 않은 경우). 변수가 원래 세션에서 보존되는지 export XAUTHORITY=/home/$SUDO_USER/.Xauthority확인하면 됩니다 .DISPLAY
그러나 루트가 아닌 다른 계정으로 전환하는 데 익숙 sudo -u daddy하고 GUI 프로그램을 사용하려는 경우 이를 자동으로 처리할 수 있는 GUI 버전의 사용자 전환 도구(예: gksuGnome 또는 kdesudoKDE)를 사용하거나 두 번째 사용자 계정 세션 키(또는 그 복사본)에 직접 액세스할 수 있습니다.
GUI 사용자 전환 도구는 접근성에 필요한 환경 변수 및/또는 중국어/문자 입력 방법에 필요한 것과 같은 더 복잡한 문자 입력 방법과 같은 기본 GUI 세션 액세스 이상의 작업을 적절하게 처리할 수 있으므로 권장되는 방법입니다. . 예를 들어 일본어/한국어 문자 입력입니다.
일부 배포판에는 PAM 모듈이나 기타 사전 구성이 있어 더욱 자동화될 수도 있습니다.
그러나 이 작업을 수동으로 수행해야 하는 경우 GUI에 로그인하지 않은 사용자로 GUI 프로그램을 실행하는 기본 기능을 얻으려면 다음 세 가지 작업을 수행해야 합니다.
- 대상 사용자는 X 세션 키 파일의 액세스 가능한 복사본을 가지고 있어야 합니다(또는 원래 세션의 변수로 가리켜져야 합니다
~/.Xauthority).XAUTHORITY보안이 우려되는 경우 원본 사용자와 대상 사용자만 파일에 액세스할 수 있어야 합니다. XAUTHORITY대상 사용자는 X 세션 키 파일의 액세스 가능한 복사본을 가리키는 변수가 필요할 수 있습니다 (해당 복사본이~/.Xauthority대상 사용자의 위치에 배치되지 않은 경우).- 대상 사용자는
DISPLAY원래 세션과 동일한 변수 값을 가지고 있어야 합니다
gksu삭제된거 같은데. sudo필요한 환경 변수를 보존 하려면 /etc/sudoers.d/zoomforkiddy다음 내용으로 파일을 작성할 수 있습니다( visudo -f /etc/sudoers.d/zoomforkiddy생성/편집하는 것이 좋습니다).
Defaults:kiddy env_keep += "DISPLAY XAUTHORITY"
kiddy ALL = (daddy) NOPASSWD: /usr/bin/zoom
이를 통해 필요한 환경 변수가 통과할 수 있으며 비밀번호 없는 액세스 sudo만 허용됩니다 .kiddy/usr/bin/zoom
그런 다음 사용자 그룹 daddy에 추가합니다.kiddy
sudo usermod -a -G kiddy daddy
그룹 액세스 권한이 설정되면 daddy파일에 대한 액세스가 허용됩니다. kiddy이제 kiddyXauthority 파일을 액세스 가능한 곳에 복사 하고 액세스할 수 daddy있도록 권한을 설정할 수 있습니다.daddy
이제 예를 들어 스크립트를 생성 /usr/local/bin/zoom_for_kiddy하고 실행 파일( )로 설정합니다 chmod a+rx /usr/local/bin/zoom_for_kiddy.
#!/bin/sh
if [ "$XAUTHORITY" = "" ]
then
XAUTHORITY="$HOME/.Xauthority"
fi
if [ -f "$XAUTHORITY" ]
then
cp "$XAUTHORITY" /tmp/zoom_for_kiddy_xauth
trap "rm -f /tmp/zoom_for_kiddy_xauth" EXIT
chmod 640 /tmp/zoom_for_kiddy_xauth
export XAUTHORITY=/tmp/zoom_for_kiddy_xauth
sudo -u daddy /usr/bin/zoom "$@"
else
echo "ERROR: cannot find the Xauthority file" >&2
fi
스크립트는 kiddyXauthority 파일을 복사하고 daddy, 권한을 설정하고, XAUTHORITY 환경 변수를 사용 가능한 값으로 설정한 daddy다음 /usr/bin/zoom실행을 시작합니다 sudo. 종료 시 zoom스크립트를 실행하는 셸이 종료되면 Xauthority 파일의 복사본이 자동으로 삭제됩니다.
이제 실제 데스크탑 환경 대신 kiddy데스크탑 환경을 조정하여 사용할 수 있습니다 . 모든 명령 매개변수는 있는 그대로 스크립트를 통해 실제 매개변수로 전달됩니다./usr/local/bin/zoom_for_kiddy/usr/bin/zoomzoom
답변3
ego비슷한 사용 사례를 위해 (Alter Ego)를 작성했습니다 . ego를 사용하면 다른 로컬 사용자로 프로그램을 시작할 수 있습니다. X11 설정 외에도 Wayland 및 PulseAudio 소켓 공유도 처리합니다.https://github.com/intgr/ego
따라서 ego --sudo -u daddy appor를 실행하면 됩니다 ego -u daddy zoom(일부 응용 프로그램은 --sudo 모드에서 실패합니다).
문제가 발생하면 GitHub에 문제를 제기해 주세요.