O Wayland suportará o sudo gráfico?

Este é um recurso permanente do Wayland (lá por design)

Não. Isso não tem nada a ver com o protocolo Wayland. É mais uma questão de configuração do ambiente.

Wayland usa um soquete, seu nome é armazenado em WAYLAND_DISPLAY. Ele está localizado em XDG_RUNTIME_DIRque normalmente é configurado apenas para acesso do usuário. Mas o root também pode acessá-lo. (Alguns aplicativos também consideram XDG_SESSION_TYPEquais podem ter valores waylandou x11para decidir se devem usar X ou Wayland.)

sudoexclui a maioria das variáveis ​​de ambiente, incluindo XDG_RUNTIME_DIRe WAYLAND_DISPLAY.

Você pode executar aplicativos wayland como root com:

sudo env XDG_RUNTIME_DIR=$XDG_RUNTIME_DIR WAYLAND_SOCKET=$WAYLAND_SOCKET waylandapplication

ou menor -EHpara preservar quase todas as variáveis ​​de ambiente (mas definindo HOMEcomo /root). Isso incluirá DISPLAYe XAUTHORITYpara acesso Xwayland também:

sudo -EH application

No entanto, se o aplicativo executado como root gravar qualquer coisa em XDG_RUNTIME_DIR, isso poderá causar problemas de permissão de arquivo para os aplicativos do usuário.

No entanto, executar aplicativos gráficos como root no wayland é muito menos um problema de segurança do que no X11.

Para evitar o uso acidental do X11, você pode executar sem DISPLAY:

sudo -EH env DISPLAY=  waylandapplication

Estou procurando uma declaração documentada (roteiro, página de design...), não preferência ou opinião.

A documentação de Wayland menciona WAYLAND_DISPLAY, mas não encontro nada sobre XDG_RUNTIME_DIR. No entanto, todos os compositores de wayland, incluindo a implementação de referência weston, dependem do XDG_RUNTIME_DIR.

Se WAYLAND_DISPLAYestivesse em outro local, não seria um problema executar aplicativos de usuários arbitrários na mesma exibição de wayland. Mas XDG_RUNTIME_DIRé especificado para ser restrito ao usuário logado e deve conter soquetes relacionados ao usuário:

$XDG_RUNTIME_DIR define o diretório base relativo ao qual os arquivos de tempo de execução não essenciais específicos do usuário e outros objetos de arquivo (como soquetes, pipes nomeados, ...) devem ser armazenados. O diretório DEVE pertencer ao usuário e ele DEVE ser o único com acesso de leitura e gravação a ele. Seu modo de acesso Unix DEVE ser 0700.

Os problemas com a execução de outro usuário ou root no wayland estão mais relacionados à XDG_RUNTIME_DIRespecificação do que ao próprio wayland. Se você especificar um custom XDG_RUNTIME_DIRcom /tmpacesso arbitrário (quebrando assim sua especificação), todos os usuários poderão usar a exibição do wayland.

Há alguma esperança para o futuro não precisar XDG_RUNTIME_DIR, mas depende da implementação: Wayland docu cap.4 :

A partir do Wayland 1.15, as implementações podem, opcionalmente, oferecer suporte a terminais de soquete de servidor localizados em locais arbitrários no sistema de arquivos, definindo WAYLAND_DISPLAY para o caminho absoluto no qual o terminal de servidor escuta.

Eu escrevi ego(Alter Ego) para este caso de uso. Não é um aplicativo GUI, mas você pode iniciar aplicativos GUI a partir do console como outro usuário, ele lida automaticamente com o compartilhamento de soquete xhost e Wayland e PulseAudio: https://github.com/intgr/ego

O truque é usar Posix ACLs para conceder acesso aos soquetes Wayland/PulseAudio a outro usuário e definir variáveis ​​de ambiente para que os aplicativos do usuário de destino saibam como se conectar a ele.

Se você tiver problemas, abra um problema no GitHub.

Existem duas soluções bastante fáceis. Os exemplos abaixo iniciam o synaptic, mas qualquer outro comando deve funcionar.

1. Usando ssh X-Forwarding para o usuário root (você pode ter que habilitar o login root /etc/ssh/sshd_configou configurar a chave de autenticação):

$ ssh -Y root@:: synaptic

2. Usando socat & sudo, conforme proposto por bober no RedHat Bug #1274451 . O exemplo abaixo assume que estamos na exibição #0 e #1 é grátis...

socat UNIX-LISTEN:/tmp/.X11-unix/X1 UNIX-CONNECT:/tmp/.X11-unix/X0 & sudo DISPLAY=:1 synaptic

Acredito que, de qualquer forma, a solução alternativa é ter um processo de propriedade do usuário para se conectar ao soquete X11 e fornecer tunelamento.

Embora eu não esteja respondendo diretamente à sua pergunta, acho que há pessoas que podem ter vindo parar aqui por causa do mesmo problema.

Este é um script que eu fiz é uma solução alternativa para pessoas que precisam executar aplicativos gráficos (como Gedit , Synaptic ou GParted ) como root via sudo em uma sessão Wayland :

https://gist.github.com/wachambo/bd22e12db2d5a46dc109bd0d553733be

Importado aqui:

#!/usr/bin/env bash

#
# Enable root access to x-windows system.
#
# Motivation: Trying to run a graphical application as root via su, sudo in a 
# Wayland session (e.g. GParted or Gedit), will fail. Apps which use polkit to
# request administrator permissions for just certain operations and only when 
# needed are not affected (they are not started as root right away). 
# [1] https://bugzilla.redhat.com/show_bug.cgi?id=1274451
#
# Based on a Reddit comment.
# [2] https://www.reddit.com/r/Fedora/comments/5eb633/solution_running_graphical_app_with_sudo_in/

if (( $# != 1 )); then
    echo "Illegal number of parameters."
    echo
    echo "Usage: wsudo [command]"
    exit 1
fi

for cmd in sudo xhost; do
    if ! type -P $cmd &>/dev/null; then
        echo "$cmd it's not installed. Aborting." >&2
        exit 1
    fi
done

xhost +SI:localuser:root
sudo $1
#disable root access after application terminates
xhost -SI:localuser:root
#print access status to allow verification that root access was removed
xhost

Isso estende a resposta de Thomas Guyot-Sionnest .

Sinto que isso merece sua própria resposta, já que resolveu muitos problemas para mim. Crie um script de shell chamado wlsudocom o seguinte conteúdo:

#!/usr/bin/env bash
socat UNIX-LISTEN:/tmp/.X11-unix/X1 UNIX-CONNECT:/tmp/.X11-unix/X0 & sudo DISPLAY=:1 "$@"

Salve-o em um diretório no seu $PATHe dê a ele permissões executáveis ​​( chmod +x ./wlsudo). Você deve ser capaz de iniciar aplicativos GUI usando wlsudono lugar de sudoWayland, por exemplo, wlsudo synaptic apenas funciona .