Início / unix / Perguntas / 676759
Accepted
Dmitry Grigoryev
Asked: 2021-11-10 06:15:31 +0800 CST

Onde o sudo está escondendo os dados .Xauthority do meu root?

  • 772

Acabei de notar algo peculiar sobre como sudolida com o .Xauthorityarquivo:

sudo xauth add $(xauth list | tail -1)

user@server: sudo xauth info
Authority file:       /root/.xauthYZ21Nt
File new:             no
File locked:          no
Number of entries:    1
Changes honored:      yes
Changes made:         no
Current input:        (argv):1

user@server:  sudo xauth info
Authority file:       /root/.xauth3BFy5d
File new:             no
File locked:          no
Number of entries:    1
Changes honored:      yes
Changes made:         no
Current input:        (argv):1

user@server:  sudo xauth list
server/unix:10  MIT-MAGIC-COOKIE-1  c922ab48defdf43b1092dffb86c06eed

user@server: sudo ls -la /root | grep auth
-rw-r--r--  1 root root    0 Nov  9 14:40 .Xauthority
-rw-------  1 root root   57 Nov  9 15:23 .xauthsrxzxl

user@server:  pkexec xauth info
Authority file:       /root/.Xauthority
File new:             no
File locked:          no
Number of entries:    0
Changes honored:      yes
Changes made:         no
Current input:        (argv):1

Portanto, $XAUTHORITYvalue é diferente em cada new sudo, e aponta para um arquivo temporário que desaparece quando sudo sai. Por causa disso, o último comando (que usa pkexecem vez de sudoe espera que esteja em /root/.Xauthority) não consegue ver o cookie. Por exemplo, sudo geditfunciona bem, mas pkexec env DISPLAY=$DISPLAY geditfalha.

Por que isso é feito de maneira tão complicada, onde os dados são armazenados e, mais importante, como posso acessar .Xauthorityos dados com pkexec?

debian sudo

5 respostas

  1. Quando um servidor X inicia com -autha opção, ele cria um arquivo com MIT-MAGIC-COOKIE-1(senha), e somente os usuários que conhecem essa senha podem exibir suas janelas no sistema X window.

    Pode haver mais de um MIT-MAGIC-COOKIE-1(net login, ssh -X, ...), mas acho que no seu caso, se você verificar esses arquivos - eles terão exatamente o mesmo conteúdo ( cmp /root/.xauth1 /root/.xauth2).

    No entanto, se você iniciar um servidor X diferente e usar sudo(ou su), a nova senha deverá ser diferente.

    Portanto, a razão para arquivos diferentes é porque sudonão sabia qual exibição é usada por outras instâncias e obtém as únicas senhas necessárias (e cria um novo arquivo para armazená-lo).

    • 4
  2. Best Answer

    O cookie xauth é armazenado nesse arquivo temporário ( ~/.xauthXXXX) que é removido quando sudoretorna (por exemplo, quando o sudo xauth infocomando termina).

    Sugiro que você dê uma olhada no código-fonte do pam_xauthmódulo:

    #define XAUTHTMP ".xauthXXXXXX"
...
int
pam_sm_open_session (pam_handle_t *pamh, int flags UNUSED,
                     int argc, const char **argv)
{
...

                /* Generate the environment variable
                 * "XAUTHORITY=<homedir>/filename". */
                if (asprintf(&xauthority, "%s=%s/%s",
                             XAUTHENV, tpwd->pw_dir, XAUTHTMP) < 0) {
...
                fd = mkstemp(xauthority + sizeof(XAUTHENV));
...
                cookiefile = strdup(xauthority + sizeof(XAUTHENV));

                /* Save the filename. */
                if (pam_set_data(pamh, DATANAME, cookiefile, cleanup) != PAM_SUCCESS) {
...
int
pam_sm_close_session (pam_handle_t *pamh, int flags UNUSED,
                      int argc, const char **argv)
{
...
        if (pam_get_data(pamh, DATANAME, &data) != PAM_SUCCESS)
                return PAM_SUCCESS;
        cookiefile = data;
...
        if (unlink(cookiefile) == -1 && errno != ENOENT)
          pam_syslog(pamh, LOG_WARNING, "Couldn't remove `%s': %m", cookiefile);

    Quanto ao pkexec, não acho que você deva executar aplicativos X11 com o pkexec. Já é ruim o suficiente que você possa executá-los sudo;-)

    • 2

  3. Tudo parece estar claro agora, obrigado @user499944. Resumidamente:

    • .xauthXXXXXXos arquivos temporários são criados por pam_xauth.

    • eles só são criados se $DISPLAYestiver definido, que é o caso de , sudomas não de pkexec. A execução pkexed env DISPLAY=$DISPLAY commandnão leva a nada, porque $DISPLAYsó é definida após a conclusão da autenticação. Isso é revelado nos logs do sistema:

    # after pkexec env DISPLAY=$DISPLAY xauth info
Nov 11 18:01:41 server pkexec[11650]: pam_xauth(polkit-1:session): user has no DISPLAY, doing nothing
Nov 11 18:01:41 server pkexec[11650]: user: Executing command [USER=root] [TTY=/dev/pts/3] [CWD=/home/user] [COMMAND=/usr/bin/env DISPLAY=localhost:10.0 xauth info]

# after sudo xauth info
Nov 11 18:04:12 server sudo[11666]: user : TTY=pts/3 ; PWD=/home/user ; USER=root ; COMMAND=/usr/bin/xauth info
# no message from pam_xauth about missing DISPLAY
    • 1

  4. Eu encontrei uma solução feia que permite pkexecexecutar corretamente copiando o cookie duas vezes:

    sudo xauth -f /root/.Xauthority add $(xauth list $DISPLAY) # copy the cookie for pkexec

sudo gedit # works thanks to what sudo is doing
pkexec env DISPLAY=$DISPLAY gedit # works thanks to the first line above

# Check out that I now have two files
sudo ls -la /root | grep auth
-rw-------  1 root root   57 Nov 11 11:22 .xauth0XYhX3
-rw-------  1 root root   57 Nov 11 11:17 .Xauthority

    Ainda estou procurando a resposta para a pergunta original (onde os xauthdados dos arquivos temporários estão realmente armazenados?), o que espero que me permita usar o mesmo cookie para ambos sudoe pkexeccomandos.

    • 0

  5. Para responder à parte sobre por que pam_xauth armazena cada cookie em um arquivo separado, existem dois motivos:

    • para permitir que apenas uma tela seja acessada, em vez de todas as telas atuais do usuário, e
    • para permitir que esse acesso seja removido ao final da sudosessão, excluindo o arquivo.

    Em resumo: escopo e vida útil.

    • 0

relate perguntas