Xhost и dbus-launch [решено]

-_o	# 4 года, 5 месяцев назад (отредактировано 4 года, 3 месяца назад)
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Привет! Как-то раньше было так, что пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение. А теперь и без разрешения запускаются. В процессах после их запуска увидел: `... dbus-launch --autolaunch=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx --binary-syntax --close-stderr` xxx... - это там machine-id. Через ~/.xinitrc dbus-launch я не запускал и нигде больше. `$ xhost access control enabled, only authorized clients can connect` И тут прав никому не давал. Как бы это опять запретить? И где теперь разрешения выдаются? З.Ы. xorg-xhost давно не обновлялся, а dbus в начале марта.

# 4 года, 5 месяцев назад (отредактировано 4 года, 3 месяца назад)

Сообщения: 251

Участник с: 13 января 2018

Привет!

Как-то раньше было так, что пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение. А теперь и без разрешения запускаются. В процессах после их запуска увидел:

 ... dbus-launch --autolaunch=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx --binary-syntax --close-stderr

xxx... - это там machine-id. Через ~/.xinitrc dbus-launch я не запускал и нигде больше.

$ xhost
access control enabled, only authorized clients can connect

И тут прав никому не давал.

Как бы это опять запретить? И где теперь разрешения выдаются?

З.Ы. xorg-xhost давно не обновлялся, а dbus в начале марта.

-_o	# 4 года, 5 месяцев назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Это только у меня так?

vasek	# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)
Темы: 48 Сообщения: 11330 Участник с: 17 февраля 2013	-_o Это только у меня так? Никогда приложения GUI от root не запускал, просто нет в этом необходимости. Баловался этим в молодости, но использовал специальную утилиту для этого (не вспомню как называется). По твоей просьбе (другого поста) проверил - запустил через sudo файл-менеджер - запустился нормально, создал директорию в /var/log, вышел. Проверил - права root, удалилась, конечно, с правами root. Не вижу никакого нарушения безопасности в этом. А вообще, имхо, лучше GUI-приложения таким способом не запускать, баловство это. UPD - логов, похожих на твои -_o … dbus-launch –autolaunch=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx –binary-syntax –close-stderr не заметил, правда, смотрел только логи journalctl -f и те что в терминале запуска приложения. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)

Темы: 48

Сообщения: 11330

Участник с: 17 февраля 2013

-_o
Это только у меня так?

Никогда приложения GUI от root не запускал, просто нет в этом необходимости. Баловался этим в молодости, но использовал специальную утилиту для этого (не вспомню как называется).
По твоей просьбе (другого поста) проверил - запустил через sudo файл-менеджер - запустился нормально, создал директорию в /var/log, вышел. Проверил - права root, удалилась, конечно, с правами root. Не вижу никакого нарушения безопасности в этом. А вообще, имхо, лучше GUI-приложения таким способом не запускать, баловство это.
UPD - логов, похожих на твои

-_o
… dbus-launch –autolaunch=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx –binary-syntax –close-stderr

не заметил, правда, смотрел только логи journalctl -f и те что в терминале запуска приложения.

Ошибки не исчезают с опытом - они просто умнеют

-_o	# 4 года, 4 месяца назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	vasek, благодарю за отклик на мою просьбу. Возможно, решение данного вопроса увеличит безопасность всего Арча в целом, а не только моей системы в частности. Тем более вижу, что и тебя та же ерунда. Та я тоже почти никогда, но вот polkit (pkexec) проверял и GParted запускал с разными параметрами и через sudo в том числе. Вот и обнаружилось. …dbus-launch… появлется не в логах, а в процессах. Проблема в том, что за запуск графических приложений от имени другого пользователя (в том числе и от root) в системе всегда отвечал https://www.archlinux.org/packages/extra/x86_64/xorg-xhost/. И через него разрешения надо было выдавать. До Нового года работало (всегда проверял поле установки системы). Потом обновился dbus. Или никого не предупредили, или что-то сломалось. :(

-_o

# 4 года, 4 месяца назад

Темы: 3

Сообщения: 251

Участник с: 13 января 2018

vasek, благодарю за отклик на мою просьбу. Возможно, решение данного вопроса увеличит безопасность всего Арча в целом, а не только моей системы в частности. Тем более вижу, что и тебя та же ерунда.

Та я тоже почти никогда, но вот polkit (pkexec) проверял и GParted запускал с разными параметрами и через sudo в том числе. Вот и обнаружилось. …dbus-launch… появлется не в логах, а в процессах. Проблема в том, что за запуск графических приложений от имени другого пользователя (в том числе и от root) в системе всегда отвечал https://www.archlinux.org/packages/extra/x86_64/xorg-xhost/. И через него разрешения надо было выдавать. До Нового года работало (всегда проверял поле установки системы). Потом обновился dbus. Или никого не предупредили, или что-то сломалось. :(

vasek	# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)
Темы: 48 Сообщения: 11330 Участник с: 17 февраля 2013	Посмотри Wiki Xhost, там в конце есть интересная фраза (в подробности смысла особо не вдавался). `If you do not yet have a .bashrc file in your home directory, it's OK to create one with just this line in it. If you do not add >/dev/null then each time you fire a terminal, you will see a non-disruptive message saying: access control disabled, clients can connect from any host, which is your confirmation that you can now sudo <your soft> without issue` Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)

Темы: 48

Сообщения: 11330

Участник с: 17 февраля 2013

Посмотри Wiki Xhost, там в конце есть интересная фраза (в подробности смысла особо не вдавался).

If you do not yet have a .bashrc file in your home directory, it's OK to create one with just this line in it. If you do not add >/dev/null then each time you fire a terminal, you will see a non-disruptive message saying: access control disabled, clients can connect from any host, which is your confirmation that you can now sudo <your soft> without issue

Ошибки не исчезают с опытом - они просто умнеют

-_o	# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	Изложено противоречиво. Вверху Warning об отключении access control. The 'cannot connect to X server :0.0' output у меня не наблюдается. У меня access control enabled, only authorized clients can connect но gparted то запустился...

vs220	# 4 года, 4 месяца назад (отредактировано 4 года, 4 месяца назад)
Темы: 22 Сообщения: 8070 Участник с: 16 августа 2009	-_o пока не разрешишь через xhost, то и нельзя было запустить от имени superuser ни одно GUI-приложение Сколько помню всегда запускал gparted и medit , несколько стандартных установок с DM и без .Ничего специально не разрешал

-_o	# 4 года, 4 месяца назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	vs220, а у меня другой опыт и не думаю, что wiki врет про usage Xhost. У вас, возможно, в настройках shell доступ уже давно разрешен.

vs220	# 4 года, 4 месяца назад (отредактировано 4 года, 3 месяца назад)
Темы: 22 Сообщения: 8070 Участник с: 16 августа 2009	-_o а у меня другой опыт Всегда насколько знаю проблемы с запуском граф приложений под рутом были только у КДЕ приложений решалось через ksudo вроде. -_o У вас, возможно, в настройках shell доступ уже давно разрешен Настройки которые идут по умолчанию `[[email protected] ~]$ xhost access control enabled, only authorized clients can connect` P.s. не правильно выразился не под рутом, а под суперюзером sudo medit и подобное

vs220

# 4 года, 4 месяца назад (отредактировано 4 года, 3 месяца назад)

Темы: 22

Сообщения: 8070

Участник с: 16 августа 2009

-_o
а у меня другой опыт

Всегда насколько знаю проблемы с запуском граф приложений под рутом были только у КДЕ приложений решалось через ksudo вроде.

-_o
У вас, возможно, в настройках shell доступ уже давно разрешен

Настройки которые идут по умолчанию

[[email protected] ~]$ xhost
access control enabled, only authorized clients can connect

P.s. не правильно выразился не под рутом, а под суперюзером sudo medit и подобное

-_o	# 4 года, 4 месяца назад
Темы: 3 Сообщения: 251 Участник с: 13 января 2018	В общем, дело темное. Но что-то не так.