Bei der Angabe von "kdesudo" bin ich davon ausgegangen, daß nach root gewechselt werden soll, daher meine vorherige Antwort.
Wenn es aber ein anderer Benutzer sein soll, wäre doch der Aufruf "Benutzerwechsel" aus dem Menü das sinnvollste Vorgehen. Man kann dem zweiten User noch Rechte auf den anderen Verzeichnissen einräumen, aber sauberer wäre, gleich beide in die gleiche Gruppe stecken. Hier mußt Du Dich mit dem Unix-Rechtesystem beschäftigen.
[gelöst] Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Re: Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Ah, gut, jetzt verstehe ich besser, was Du erreichen willst.c1ue hat geschrieben:22.04.2019 17:10:24EDIT:
pkexec --user user2 env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY dolphin
No protocol specified
QXcbConnection: Could not connect to display :0
Abgebrochen
willy4711 hat geschrieben:
Kannst du das mal genauer ausführen ? Was soll das für ein Nutzer sein ?
Ein normaler, anderer Nutzer auf dem selben, laufenden System mit dessen Rechten ich "seinen" Dolphin oder "sein" Office starten lassen möchte.
Dein pkexec-Befehl ist grundsätzlich richtig, scheitert aber, weil die Datei $XAUTHORITY nur von user1 gelesen werden kann.
Die einfachste Lösung ist, Zugriff auf X für user2 mit xhost zu erlauben.
Als user1:
Code: Alles auswählen
xhost +SI:localuser:user2
Code: Alles auswählen
pkexec --user user2 env DISPLAY=$DISPLAY dolphin
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Nicht unbedingt... ich nutze das z.B. um meinen Normalbetriebs-Surfer-Browser mit dem Profil eines völlig unberechtigten Users (hier ist das ein virtueller User) zu starten. Mein eigenes mir selbst gehörendes Browserprofil wird zum Surfen tatsächlich gar nicht verwendet. Weil ich gleichzeitig neben dem Browser aber noch ganz normal in meinem Profil werkele, mit irgendwelchen beliebigen Anwendungsprogrammen und eben auch der Notwendigkeit, auf LAN-Ressourcen mit meinen regulären User-Rechten zuzugreifen, wäre ein vollständiger User-Wechsel natürlich problematisch.KP97 hat geschrieben:22.04.2019 18:18:40Wenn es aber ein anderer Benutzer sein soll, wäre doch der Aufruf "Benutzerwechsel" aus dem Menü das sinnvollste Vorgehen.
Bei mir gehts genau darum, nur halt genau umgekehrt... und zwar das der zweite User überhaupt keine Rechte hat. Mein virtueller User sieht hinsichtlich Daten und bezogen auf unsere LAN-Freigaben gar nix, er sieht eigentlich nur sein eigenes quasi völlig leeres Homedir, dementsprechend sieht auch der Browser nix, der unter dieser UID läuft. Ich habe lediglich mich selber dazu berechtigt, sein Download-Dir zu öffnen, damit ich an dort liegende Downloads rankomme.Man kann dem zweiten User noch Rechte auf den anderen Verzeichnissen einräumen, aber sauberer wäre, gleich beide in die gleiche Gruppe stecken. Hier mußt Du Dich mit dem Unix-Rechtesystem beschäftigen.
Re: Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Super, das klappt. Mal ne frage: Reiß ich mir damit irgendwelche gravierenden Sicherheitslücken auf mit dem xhost? Und bleibt das dann permanent so oder nur bis zum Abmelden meines "normalen" Beutzers?MartinV hat geschrieben:22.04.2019 18:38:23Anschließend sollte gehen:Code: Alles auswählen
xhost +SI:localuser:user2
Code: Alles auswählen
pkexec --user user2 env DISPLAY=$DISPLAY dolphin
@TomL
Find ich super, wie Du das machst. Könntest Du mir mal Schritt für Schritt erklären, wie Du das machst? Und nochwas: Kombinierst Du das dann mit z.B. firejail? Und wie läuft das, wenn Du mal ne mit dem Browser heruntergeladene Datei speichern willst, die Dein "normaler" user dann weiterverwenden soll?ich nutze das z.B. um meinen Normalbetriebs-Surfer-Browser mit dem Profil eines völlig unberechtigten Users (hier ist das ein virtueller User) zu starten.
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht
Re: Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Ich bin kein Fan von xhost, aber mit der Festlegung localuser (nur lokaler Benutzer) und nur user2 geht es.c1ue hat geschrieben:23.04.2019 10:33:23Reiß ich mir damit irgendwelche gravierenden Sicherheitslücken auf mit dem xhost?
Bei Fedora (oder Gnome 3 generell?) gibt es gar kein XAUTHORITY mehr, nur noch ein xhost-Setup für den aktuellen Benutzer wie das hier beschriebene.
Riskant ist "xhost +", das beliebigen Zugriff durch jedermann erlaubt. Findet man oft als (schlechte) Empfehlung im Netz.
Bis zum Ende des X servers.c1ue hat geschrieben:23.04.2019 10:33:23Und bleibt das dann permanent so oder nur bis zum Abmelden meines "normalen" Beutzers?
Du kannst es vorher schon deaktivieren mit:
Code: Alles auswählen
xhost -SI:localuser:user2
Code: Alles auswählen
xhost
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers
Super, danke vielmals!
Wir erleben gerade die letzte Ruhe vor dem Sturm. Genießen wir sie, solange es noch geht