sudo 在哪里隐藏我的根的 .Xauthority 数据？

当 X 服务器以-auth选项启动时，它会创建一个带有MIT-MAGIC-COOKIE-1(password) 的文件，并且只有知道此密码的用户才能在 X 窗口系统中显示他们的窗口。

可以有多个MIT-MAGIC-COOKIE-1（网络登录，ssh -X...），但我认为在您的情况下，如果您检查这些文件 - 它们将具有完全相同的内容（cmp /root/.xauth1 /root/.xauth2）。

但是，如果您启动不同的 X 服务器并使用sudo（或su），新密码应该不同。

所以不同文件的原因是因为sudo不知道其他实例使用哪个显示器并且它获得了它需要的唯一密码（并创建新文件来存储它）。

xauth cookie 存储在该临时文件 ( ~/.xauthXXXX) 中，该文件在返回时会被删除sudo（例如，当sudo xauth info命令完成时）。

我建议你看一下pam_xauth模块的源代码：

#define XAUTHTMP ".xauthXXXXXX"
...
int
pam_sm_open_session (pam_handle_t *pamh, int flags UNUSED,
                     int argc, const char **argv)
{
...

                /* Generate the environment variable
                 * "XAUTHORITY=<homedir>/filename". */
                if (asprintf(&xauthority, "%s=%s/%s",
                             XAUTHENV, tpwd->pw_dir, XAUTHTMP) < 0) {
...
                fd = mkstemp(xauthority + sizeof(XAUTHENV));
...
                cookiefile = strdup(xauthority + sizeof(XAUTHENV));

                /* Save the filename. */
                if (pam_set_data(pamh, DATANAME, cookiefile, cleanup) != PAM_SUCCESS) {
...
int
pam_sm_close_session (pam_handle_t *pamh, int flags UNUSED,
                      int argc, const char **argv)
{
...
        if (pam_get_data(pamh, DATANAME, &data) != PAM_SUCCESS)
                return PAM_SUCCESS;
        cookiefile = data;
...
        if (unlink(cookiefile) == -1 && errno != ENOENT)
          pam_syslog(pamh, LOG_WARNING, "Couldn't remove `%s': %m", cookiefile);

至于pkexec，我认为您不应该使用pkexec. 你可以用它们来运行它们已经够糟糕了sudo;-)

现在似乎一切都清楚了，谢谢@user499944。简而言之：

• 临时.xauthXXXXXX文件由pam_xauth.

• 它们仅在$DISPLAY设置时才创建，情况是这样，sudo但不是pkexec。运行pkexed env DISPLAY=$DISPLAY command没有任何效果，因为$DISPLAY仅在身份验证完成后设置。这在系统日志中显示：

# after pkexec env DISPLAY=$DISPLAY xauth info
Nov 11 18:01:41 server pkexec[11650]: pam_xauth(polkit-1:session): user has no DISPLAY, doing nothing
Nov 11 18:01:41 server pkexec[11650]: user: Executing command [USER=root] [TTY=/dev/pts/3] [CWD=/home/user] [COMMAND=/usr/bin/env DISPLAY=localhost:10.0 xauth info]

# after sudo xauth info
Nov 11 18:04:12 server sudo[11666]: user : TTY=pts/3 ; PWD=/home/user ; USER=root ; COMMAND=/usr/bin/xauth info
# no message from pam_xauth about missing DISPLAY

我发现了一个丑陋的解决方法，它允许pkexec通过复制 cookie 两次来正确运行：

sudo xauth -f /root/.Xauthority add $(xauth list $DISPLAY) # copy the cookie for pkexec

sudo gedit # works thanks to what sudo is doing
pkexec env DISPLAY=$DISPLAY gedit # works thanks to the first line above

# Check out that I now have two files
sudo ls -la /root | grep auth
-rw-------  1 root root   57 Nov 11 11:22 .xauth0XYhX3
-rw-------  1 root root   57 Nov 11 11:17 .Xauthority

我仍在寻找原始问题的答案（xauth临时文件中的数据实际存储在哪里？），希望这将允许我对sudo和pkexec命令使用相同的 cookie。

要回答关于为什么 pam_xauth将每个 cookie 存储在单独文件中的部分，有两个原因：

• 只允许访问一个显示器，而不是所有用户当前的显示器，以及
• 通过删除文件，允许在sudo会话结束时删除该访问权限。

总结：范围和生命周期。