[gelöst] Gruppe sudo darf Synaptic ausführen auch wenn nicht in Sudoers

[KP97]

Bei der Angabe von "kdesudo" bin ich davon ausgegangen, daß nach root gewechselt werden soll, daher meine vorherige Antwort.
Wenn es aber ein anderer Benutzer sein soll, wäre doch der Aufruf "Benutzerwechsel" aus dem Menü das sinnvollste Vorgehen. Man kann dem zweiten User noch Rechte auf den anderen Verzeichnissen einräumen, aber sauberer wäre, gleich beide in die gleiche Gruppe stecken. Hier mußt Du Dich mit dem Unix-Rechtesystem beschäftigen.

[MartinV]

EDIT:
pkexec --user user2 env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY dolphin

No protocol specified
QXcbConnection: Could not connect to display :0
Abgebrochen

willy4711 hat geschrieben:
Kannst du das mal genauer ausführen ? Was soll das für ein Nutzer sein ?

Ein normaler, anderer Nutzer auf dem selben, laufenden System mit dessen Rechten ich "seinen" Dolphin oder "sein" Office starten lassen möchte.

Ah, gut, jetzt verstehe ich besser, was Du erreichen willst.
Dein pkexec-Befehl ist grundsätzlich richtig, scheitert aber, weil die Datei $XAUTHORITY nur von user1 gelesen werden kann.
Die einfachste Lösung ist, Zugriff auf X für user2 mit xhost zu erlauben.
Als user1:

Code: Alles auswählen

xhost +SI:localuser:user2

Anschließend sollte gehen:

Code: Alles auswählen

pkexec --user user2 env DISPLAY=$DISPLAY dolphin

[TomL]

Wenn es aber ein anderer Benutzer sein soll, wäre doch der Aufruf "Benutzerwechsel" aus dem Menü das sinnvollste Vorgehen.

Nicht unbedingt... ich nutze das z.B. um meinen Normalbetriebs-Surfer-Browser mit dem Profil eines völlig unberechtigten Users (hier ist das ein virtueller User) zu starten. Mein eigenes mir selbst gehörendes Browserprofil wird zum Surfen tatsächlich gar nicht verwendet. Weil ich gleichzeitig neben dem Browser aber noch ganz normal in meinem Profil werkele, mit irgendwelchen beliebigen Anwendungsprogrammen und eben auch der Notwendigkeit, auf LAN-Ressourcen mit meinen regulären User-Rechten zuzugreifen, wäre ein vollständiger User-Wechsel natürlich problematisch.

Man kann dem zweiten User noch Rechte auf den anderen Verzeichnissen einräumen, aber sauberer wäre, gleich beide in die gleiche Gruppe stecken. Hier mußt Du Dich mit dem Unix-Rechtesystem beschäftigen.

Bei mir gehts genau darum, nur halt genau umgekehrt... und zwar das der zweite User überhaupt keine Rechte hat. Mein virtueller User sieht hinsichtlich Daten und bezogen auf unsere LAN-Freigaben gar nix, er sieht eigentlich nur sein eigenes quasi völlig leeres Homedir, dementsprechend sieht auch der Browser nix, der unter dieser UID läuft. Ich habe lediglich mich selber dazu berechtigt, sein Download-Dir zu öffnen, damit ich an dort liegende Downloads rankomme.

[c1ue]

Code: Alles auswählen

xhost +SI:localuser:user2

Anschließend sollte gehen:

Code: Alles auswählen

pkexec --user user2 env DISPLAY=$DISPLAY dolphin

Super, das klappt. Mal ne frage: Reiß ich mir damit irgendwelche gravierenden Sicherheitslücken auf mit dem xhost? Und bleibt das dann permanent so oder nur bis zum Abmelden meines "normalen" Beutzers?

@TomL

ich nutze das z.B. um meinen Normalbetriebs-Surfer-Browser mit dem Profil eines völlig unberechtigten Users (hier ist das ein virtueller User) zu starten.

Find ich super, wie Du das machst. Könntest Du mir mal Schritt für Schritt erklären, wie Du das machst? Und nochwas: Kombinierst Du das dann mit z.B. firejail? Und wie läuft das, wenn Du mal ne mit dem Browser heruntergeladene Datei speichern willst, die Dein "normaler" user dann weiterverwenden soll?

[MartinV]

Super, das klappt.

Reiß ich mir damit irgendwelche gravierenden Sicherheitslücken auf mit dem xhost?

Ich bin kein Fan von xhost, aber mit der Festlegung localuser (nur lokaler Benutzer) und nur user2 geht es.
Bei Fedora (oder Gnome 3 generell?) gibt es gar kein XAUTHORITY mehr, nur noch ein xhost-Setup für den aktuellen Benutzer wie das hier beschriebene.
Riskant ist "xhost +", das beliebigen Zugriff durch jedermann erlaubt. Findet man oft als (schlechte) Empfehlung im Netz.

Und bleibt das dann permanent so oder nur bis zum Abmelden meines "normalen" Beutzers?

Bis zum Ende des X servers.
Du kannst es vorher schon deaktivieren mit:

Code: Alles auswählen

xhost -SI:localuser:user2

Den derzeitigen Status von xhost-basierten Zugriffsrechten siehst Du mit:

Code: Alles auswählen

xhost

[c1ue]

Super, danke vielmals!