如何以另一个用户身份运行 X 应用程序（vscode）

你需要

1. 正确设置$DISPLAY变量，
2. 授予对~/.Xauthority文件的访问权限
3. 在/tmp/.X11-unix目录中共享套接字

请注意，一旦您与不同的客户端共享您的 X 服务器，它基本上与以您自己的用户身份运行程序相同，安全方面：客户端可以观察键盘、截屏、合成按键，而我不会如果 X11 协议中一些较少使用的功能（加载纹理？字体？）可能被滥用为远程文件阅读器，您会感到惊讶。不过，不是 X11 协议方面的专家。

由于隔离非常弱，无论如何，您也可以在限制对主目录的访问方面不那么复杂：容器。

Linux 有命名空间，docker、kubernetes、snap 等技术都依赖于它。您可以做的是以普通用户的身份启动一个进程，并为该进程提供用户和文件系统环境的完整视图 - 一个没有您的主目录的视图。

Podman 是这些技术之一，它在 debian、IIRC 上可用。安装它应该尽可能简单：

sudo apt install -y podman

然后，您应该能够运行容器：

podman run -it --rm debian:sid
#       |   |   |    |
#       +--------------- Run subcommand: run a container
#           |   |    |
#           +----------- interactive, i.e., assign a virtual terminal, 
#               |    |   so you can see and type into an interactive session
#               |    |
#               +------- Remove the container after you're done - no data survives,
#                    |   if it's only in the container. Of course, things on 
#                    |   volumes specified using the -v source_path:destination
#                    |   persist, since they are "outside".
#                    |
#                    +-- name:tag is the way to specify what
#                        container you want to fetch in which version

要运行图形化的东西，你需要允许上面提到的事情，并告诉 SELinux 你已经完成了你承诺的事情：

podman run -e DISPLAY=$DISPLAY \
            -v /tmp/.X11-unix:/tmp/.X11-unix:Z \
             -v ~/.Xauthority:/root/.Xauthority:Z \
              --security-opt label=type:container_runtime_t \
               -it --rm fedora:35
#           ||||
#           +---- -e INSIDE=OUTSIDE  set an env variable INSIDE inside the
#            |||     container to the value OUTSIDE
#            ||| 
#            +--- -v SOURCE:DEST[:permissions]
#             ||     SOURCE directory or file appears under DEST within
#             ||     container; :Z means that the podman-running users'
#             ||     permissions are translated to root permissions inside.
#             ||     Here, mount the host's X11 socket directory at the same place
#             ||
#             +-- -v SOURCE:DEST[:permissions] again
#              |     Here, mount the podman-running user's ~/.Xauthority
#              |     as /root/.Xauthority owned by root.
#              |     
#              +- --rm -it: see above     
[root@4da385540218 /]#

看看你是如何突然在一个你自己启动的容器中成为 root 的——作为非 root！

我们现在可以将 vscode 安装到这个容器中，~/sourcecode像/sourcecode在容器中一样共享您的文件夹，并将其用作 vscode 的用户数据目录：

podman run -e DISPLAY=$DISPLAY \
           -v /tmp/.X11-unix:/tmp/.X11-unix:Z \
           -v ~/.Xauthority:/root/.Xauthority:Z \
           --security-opt label=type:container_runtime_t \
           -v ~/sourcecode:/sourcecode:Z \
           -it --rm fedora:35
[root@4da385540218 /]#
 rpm --import https://packages.microsoft.com/keys/microsoft.asc
[root@4da385540218 /]#
 echo -e "[code]\nname=Visual Studio Code\nbaseurl=https://packages.microsoft.com/yumrepos/vscode\nenabled=1\ngpgcheck=1\ngpgkey=https://packages.microsoft.com/keys/microsoft.asc" > /etc/yum.repos.d/vscode.repo
[root@4da385540218 /]#
 dnf --refresh update -y
[root@4da385540218 /]#
 dnf install -y code
[root@4da385540218 /]#
 code --user-data-dir /sourcecode/ --no-sandbox

你是怎么做这些步骤的？正确设置 $DISPLAY 变量，授予对 ~/.Xauthority 文件的访问权限，共享 /tmp/.X11-unix 目录中的套接字

我是 ubuntu 新手，不知道这意味着什么或如何做到这一点。我安装了代码，昨天我能够打开它，今天我不能。当我输入代码 --verbose 时，它​​显示“无法打开 X 显示器。futex 工具返回了意外的错误代码。/dev/fd/3：没有这样的文件或目录”，这就是我在这里结束的方式。我在 ubuntu 20.04