Как настроить автозапуск графического приложения с правами другого пользователя в linux-дистрибутиве Debian для непривилегированного пользователя?

Question

[Руслан Гильфанов]

Собственно, что мне нужно добиться от Debian:

• есть графическое приложения, которому нужны права для изменения пары системных конфигов в /etc/;
  
• есть пользователь reader (по-сути, гостевой пользователь), права которого должны быть максимально ограничены;
  
• графическое приложение должно запускаться автоматически при входе пользователя reader.
  

Запуск графического приложения от root может быть избыточным, но приемлемым.

Запуск от отдельного пользователя и добавление ему прав на редактирование той пары системных конфигов -- кажется более оптимальным.

В любом случае, графическое приложение должно автоматически запускаться для гостевого пользователя по-умолчанию (максимально бесправного), но с правами другого пользователя.

Как это можно реализовать?

Буду рад советам по делу.

UPDATE

Создано два пользователя: reader и defender

Пользователь defender добавлен в группу root, а нужным конфигам изменены групповые права доступа.

Графическое приложение написано на "python gtk3". Как я понимаю, suid для запуска скриптовых файлов .py и .sh не подходит.

Обернул команду на запуск в bash-script:

cd /home/defender/thin-defender/thin_defender
/home/defender/thin-defender/.venv/bin/python3 /home/defender/thin-defender/thin_defender/manage.py run_app --config test

Добавил в sudoers до инклюда следующее правило:

reader  ALL=(ALL:ALL) NOPASSWD:/home/defender/thin-defender/thin_defender/run.sh

Запуск через

sudo -u defender /home/defender/thin-defender/thin_defender/run.sh

...ожидаемо не работает:

No protocol specified
Unable to init server: Could not connect: Connection refused
No protocol specified
Unable to init server: Не удалось подключиться к: Connection refused
Segmentation fault

Запуск через

gksudo -u defender /home/defender/thin-defender/thin_defender/run.sh

Ничего не даёт.

Добавил ключик d, чтобы получить отладочную информацию:

No ask_pass set, using default!
xauth: /tmp/libgksu-4YNi0X/.Xauthority
STARTUP_ID: gksudo/|home|defender|thin-defender|thin_defender|run.sh/3546-0-default_TIME8935278
cmd[0]: /usr/bin/sudo
cmd[1]: -H
cmd[2]: -S
cmd[3]: -p
cmd[4]: GNOME_SUDO_PASS
cmd[5]: -u
cmd[6]: defender
cmd[7]: --
cmd[8]: /home/defender/thin-defender/thin_defender/run.sh
buffer: -No protocol specified-
buffer: -Unable to init server: Could not connect: Connection refused-
buffer: -No protocol specified-
buffer: -Unable to init server: Не удалось подключиться к: Connection refused-
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: -Segmentation fault-
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
buffer: --
brute force GNOME_SUDO_PASS ended...
No password prompt found; we'll assume we don't need a password.
xauth: /tmp/libgksu-4YNi0X/.Xauthority
xauth_env: /home/reader/.Xauthority
dir: /tmp/libgksu-4YNi0X

При использовании gksu с sudo в качестве бэкенда (ключ -S):

gksu -Sdu defender /home/defender/thin-defender/thin_defender/run.sh

Поведение аналогично, в отладке те же ошибки.

А вот gksu в обычном режиме (т.е. su в качестве бэкенда):

gksu -du defender /home/defender/thin-defender/thin_defender/run.sh

Приводит к запрашиванию пароля от пользователя defender, что в моём случае неприемлемо. Хотя приложение после ввода пароля запускается.

Где и какой конфиг править, чтобы сделать беспарольный вызов конкретного скрипта через gksu в обычном режиме (без использования бэкенда в виде sudo) не нагуглил.

Так же пробовал добавлять в bash-скрипт:

run xhost
export DISPLAY=":0.0"
xhost +

Но толку вроде не было.

Собственно, рабочее решения для запуска приложения от другого пользователя без пароля пока так и не нашёл.

Answer 1

[Александр]

Поизучал этот вопрос:
Достал апельсинку (Orange PI One), залил на нее armbian.
Самый простой способ это взять lightdm а приложение запускать как greeter(никаких автовходов не надо).
В таком варианте нужно установить лишь xorg и lightdm
и выполнить systemctl set-default graphical.target
/etc/lightdm/lightdm.conf

[Seat:*]
greeter-session=my-greeter

/usr/share/xgreeters/my-greeter.desktop

[Desktop Entry]
Name=My GTK+ Greeter
Comment=This runs the My GTK+ greeter, it should only be run from LightDM
Exec=python /home/user/greeter.py
Type=Application
X-Ubuntu-Gettext-Domain=lightdm

приложение при вылете перезапустится, находится в 7 консоли, в остальных консолях будет висеть строка входа.

вобщем любой скрипт можно так запустить под иксами от пользователя lightdm запускается по умолчанию.

а можно просто поискать готовый greeter(программа логина) а RDP запускать уже через скрипт сессии.
получиnm параметры по DHCP можно так
/etc/dhcp/dhclient-exit-hooks.d/myparamscript

setup_add() {
    echo $new_host_name > /etc/hostname
    hostname $new_host_name

    if [ -z "$new_nds_servers" ] ; then
        return
    fi

    echo rdp_server=$new_nds_servers > /tmp/rdp_config
    echo rdp_user=$new_nds_tree_name >> /tmp/rdp_config
    echo rdp_passwd=$new_nds_context >> /tmp/rdp_config
}

case $reason in
    BOUND|RENEW|REBIND|REBOOT)
        setup_add
        ;;
    EXPIRE|FAIL|RELEASE|STOP)
        return
        ;;
esac

на сервере DHCP настраиваются кастомные опции для каждого клиента:
nds_servers
nds_tree_name
nds_context

Comments

[Руслан Гильфанов]

Что за файлы?

Файлы в которых меняется имя машины:

• /etc/hostname
  
• /etc/hosts
  

Зачем графическому приложению их менять?

Установленный и настроенный Debian с самописным ПО будет клонироваться на флешки в качестве ОС для тонких клиентов.

Каждый тонкий клиент должен иметь определённый hostname, чтобы серверное REST API могло их различать и вести учёт активности пользователей. При этом, hostname зависит от физического расположения машины в здании.

Пользоваться тонким клиентом может любой человек с RFID-картой, зарегистрированной в определённой БД. Авторизация происходит через графическое приложение, опрашивающее картридер и, при успешной авторизации, открывающее RDP-сессию.

К тому же, у пользователя тонкого клиента не должно быть доступа на чтение файлов графического приложения.

Среди людей, что будут обслуживать тонкие клиенты (например, клонировать новые флешки и ставить их на тонкие клиенты), могут быть лица с Linux незнакомые.

К тому же, в предстоящей массовой замене, перелогиниваться на 100-150 машинах под другого пользователя, чтобы поменять hostname довольно неудобно.

Поэтому, сейчас реализовываю в программе модальное окно со сменой hostname, если программа обнаруживает себя на машине с дефолтным hostname.

В контексте вышеизложенного, не уверен, что стоит отдельно писать демона, который будет общаться с графическим приложением и делать то, что приложению не позволено.

[Александр]

DHCP умеет многое
https://www.ingmarverheij.com/configure-hostname-v...

Возможно нет необходимости изобретать велосипед, нужно лишь правильно настроить загрузочный скрипт.

[Александр]

А последний freerdp поддерживает редирект смарт карт
https://github.com/dodo040/FreeRDP-smartcardlogon/...

[Александр]

А все эти самописные штучки потенциальная дыра в безопасности...

[Руслан Гильфанов]

Александр, благодарю. Запуск скрипта в качестве greeter -- то, что нужно.

Единственный недостаток, Gtk почему-то разучился разворачиваться на весь экран (fullscreen).

Но это, наверное, уже к настройкам xorg?

[Александр]

у меня на весь экран было pygtk использовал, но там я делал специальное окно которое всегда поверх всех окон(блокировщик экрана) - я ему геометрию просто менял. Возможно вам тоже надо попробовать задать геометрию окна(x,y,w,h), так как запуск происходит без оконного менеджера - возможно эта функция недоступна без него.

Answer 2

[Adamos]

есть графическое приложения, которому нужны права для изменения пары системных конфигов в /etc/;

Желательно решить именно эту проблему. Какого черта какому бы то ни было "графическому приложению" понадобилось писать в /etc/? Ему тут винда, что ли?

Comments

[Руслан Гильфанов]

Диспозиция такая:

• Есть более 100 тонких клиентов с Debian, что грузится с флешки.
  
• Флешки с Debian клонируются с помощью Acronis или Clonezilla.
  
• У исходного инстанса Debian на автозагрузке должна стоять самописная программа.
  
• У каждого тонкого клиента должен быть уникальный hostname, с привязкой к месторасположению тонкого клиента в здании (этаж, место).
  

Я не придумал ничего лучше, чем:

• Клонирумый образ установленной Debian должен иметь hostname со значением "default",
  
• Программа при запуске проверяет hostname на равенство значению "default" и если равенство верно, то показывает модальное окно с требованием задать новый hostname.
  

[Adamos]

Руслан Гильфанов,

У каждого тонкого клиента должен быть уникальный hostname, с привязкой к месторасположению тонкого клиента в здании (этаж, место).

Зачем*

[AVKor]

Руслан Гильфанов, Что-то странное делаете.

[Руслан Гильфанов]

Adamos,

• отслеживание активности машин (работает / не работает) с возможностью найти нерабочий тонкий клиент без обхода всех этажей и залов;
  
• отслеживание занятости/свободности тонких клиентов (на каких этажах и на каких местах сидят или не сидят пользователи);
  
• привязка активности авторизованных (по RFID-метке) пользователей к конкретной машине, что полезно с учётом видеонаблюдения;
  
• и т.д.
  

[Adamos]

Руслан Гильфанов, просто при чем тут именно hоstname? У машин есть куча другой уникальной информации - MAC сетевухи, например. Но для ваших целей достаточно просто записи, аналогичной hostname, но где-нибудь в папке пользователя. Подделывать-то ее незачем. Или вовсе ведения всего этого учета - там, куда обращаются эти тонкие клиенты через ту самописную программу.

[Руслан Гильфанов]

Adamos, замена системного hostname на одноимённую настройку программы -- интересная мысль. Программа общается с REST API, а последнему непринципиально, что за строка передаётся в качестве hostname. А при установке RDP-сессии, hostname вроде не передаётся (по крайней мере, не в параметрах xfreerdp).

Но тут ещё такая тонкость, у пользователя не должно быть доступа на чтение файлов программы.

По-хорошему, должен соблюдаться принцип минимальных прав -- рядовой пользователь может положить карточку на картридер (чтобы начать RDD-сессию) или убрать (чтобы завершить). И видеть он должен либо окно блокировки на весь экран, либо RDP-сессию с виндовым сервером так же на весь экран.

Для админов же, если всё-таки придётся лезть, можно сделать тайминг перед автологином гостевого пользователя, чтобы можно было зайти под другим юзером.

Мне кажется в любом случае, было бы удобно уметь запускать софт для пользователя А с правами пользователя Б. В том числе, если этот софт имеет GUI и его нужно поставить на автозапуск только для пользователя А.

[Adamos]

Руслан Гильфанов, локальный пользователь и пользователь программы - совсем не обязательно одно и то же. Программа может иметь широкие права, но ограничивать их у конкретного пользователя.

Answer 3

[Иван]

gksu?

Comments

[Руслан Гильфанов]

gksu -- аналог sudo для gui-приложений, запрашивающий пароль текущего поьзователя?

[Иван]

Руслан Гильфанов, да, это гуевый судо.

[Руслан Гильфанов]

Иван, обновил вопрос

[Иван]

Руслан Гильфанов, насколько помню это связанно непосредственно с тем как работает сам sudo.
https://askubuntu.com/questions/39281/how-to-run-a...

[Руслан Гильфанов]

Иван, для редактирования sudoers я использовал visudo и добавил инструкцию с NOPASSWD последней. И это работает, пароль не спрашивается.

Судя по отладочному выводу, проблема в том, что графический интерфейс не запускается корректно (вероятно, gtk не может законнектиться с x-сессией). Как будто используется обычное sudo, а не gksudo.

По ссылке я сходу не вижу схожей проблемы и её решений.

Answer 4

[Александр Маджугин]

man suid
Даже в википедии есть: https://ru.wikipedia.org/wiki/Suid

А если скрипт, то:
sudo cat /etc/sudoers
Там все прямо в комментариях написано.

Или в гугл sudoers nopasswd

Answer 5

[Дмитрий]

Запускать приложение от рута в сессия гостя это конечно сильно. Если очень надо - посмотрите в сторону sudo

Comments

[Руслан Гильфанов]

Я немного дополнил вопрос.

По поводу sudo, мне казалось утилита требует пароль текущего пользователя, если он добавлен в sudoers.

В моём случае, графическое приложение должно запускаться автоматически, т.к. оно осуществляет авторизацию для RDP-сессии другим способом.

Answer 6

[CityCat4]

Никакое "графическое приложение" от пользователя не должно писать в каталоги, отличные от домашки и /tmp. А уж лезть в /etc - это полный адЪ и демоны. Если в действительности надо что-то такое менять в /etc - пишите демона, который будет стартовать от рута и писать в /etc и клиента, который будет слать ему команды. А лучше всего и демона пускать не от рута, а от некоего псевдопользователя, который будет владеть этой парой файлов

Comments

[#]

в целом да.. но.. к примеру я пытался завести из под линукса прямой доступ к харду (ссд) под вмварькой и под виртуалбоксом... я за;№%ся искать решение, как создать ярлык с запуском аля судо (фих с ним с вводом палоя.. не обломался бы)... но... ни че не работает... только с консоли ((( ... (а без рутовых прав, прав на физический диск нету в принципе... а под виндой - ярлык, свойства, дополнительные, галочка "как админ").... иногда не все так как хочется.. ;((

ps это еще пол дела - пару лет я не мог понять почему ни бокс, ни варька не могут работать с физикой (хотя в манах написано ДА)... этой весной, случайно, в чужом треде тут, чел кинул ссылку, где раскрывается секрет... но выклянчить это у гугла - мозги сломаешь... ;))

[CityCat4]

Шарпер, Прямой доступ к харду юзеру по определению не нужен :) А если нужен - у меня например, есть в свойствах ярлыка кнопка "Дополнительные параметры", а в нем "Выполнять от имени другого пользователя" - именно так у меня wireshark запускается.
vmware может работать с физикой (имеется в виду полный винт, без форматирования оного в vmfs?), но делается это все такими нестандартными средствами, что офигеть на месте - нужно через консоль создавать какие-то линки на устройства, шаманить чего-то...

[#]

"Дополнительные параметры", а в нем "Выполнять от имени другого пользователя"

возможно мне надо пополнить эрудицию )) пойду проверю..

[#]

и варька и бокс умеют работь с физикой (но от рута) но и там есть подлянка.... ща пороюсь в линках...
ня - Ошибка в VirtualBox — недостаточно свободного места, как исправить?
зпадло в том, что это не меняется с "чистой загрузкой"... атрибут пишется где то на физике.. и принимается как фактор в любом варианте начальной загрузки, любой ОС... просто винда с ним ловчее управляется...