LINUX.ORG.RU

Правильное подключение нескольких юзеров к одному X11 и pulsaudio.

 , ,


0

1

В системе есть несколько пользователей, user user1 user2 user3, так сделано в связи с правилами фаервола и в целом для разграничения и безопасности, ну и в конце концов это же unix-way не так ли?

При этом основная сессия запущена всегда в окружении user, как было бы наиболее корректно (с точки зрения безопасности и в общем нативно) было бы запускать графические приложения и воспроизводить звук при запуске их от имени user1 user2 user3.

  1. Подключать графические приложения к основной сессии X11, через xhost +si, не является оптимальным и безопасным вариантом (утечки буфера-обмена, кейлоггинг и снимки окон). Но как это сделать правильно(кроме виртуалки и песочниц) ?

  2. Какой существует правильный способ проброса звука между юзерами на основной инстанс pulseaudio? Кроме предлагаемого везде порта на локальном адресе (тоже очень небезопасный и костылявый способ).

Спасибо

Ответ на: комментарий от Aceler

Запуск ПО которое а). Проприетарное, б). Не из официального репозитория. Это необязательно зловреды и ни в коем случае не зловредные программы, но на всякий случай им не надо иметь доступ в /home/user и иногда в сеть.

Пусть это будет набор игр из GOG ради примера.

cheetah111v
() автор топика

Подключать графические приложения к основной сессии X11, через xhost +si, не является оптимальным и безопасным вариантом (утечки буфера-обмена, кейлоггинг и снимки окон). Но как это сделать правильно(кроме виртуалки и песочниц) ?

Например, подключать к неосновной сессии: Xephyr, или, в случае с (не слишком казуальными) играми, второй экземпляр иксов на отдельном VT

annulen ★★★★★
()

Какой существует правильный способ проброса звука между юзерами на основной инстанс pulseaudio? Кроме предлагаемого везде порта на локальном адресе (тоже очень небезопасный и костылявый способ).

А какая здесь модель угроз? Игра воспроизведёт неприличные звуки в момент, когда мама зайдёт в комнату?)

annulen ★★★★★
()
Ответ на: комментарий от cheetah111v

Человечество специально придумало песочницы для этого. На лор целая статья по настройке firejail. Но ты не хочешь песочницы - есть какая-то причина?

Aceler ★★★★★
()

Если ты даёшь проге проключиться с своей икс-сессии - ты эту сессию компрометируешь целиком. Иксы не знают ничего про разделение юзеров и если кто-то к ним подключился - у него полные права в этой сессии, в том числе на делание скриншотов и перехват клавиатуры.

Что касается звука, то не надо ничего никуда прокидывать. А лучше вообще снеси pulseaudio, он не выполняет никаких полезных функций, весь нормальный софт прекрасно работает без него, напрямую общаясь с ядром.

Самый удобный способ это запускать сомнительные проги из другой консоли (ctrl-alt-f4), логинясь в неё с другого юзера и открывая там отдельную сессию иксов.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от cheetah111v

Не пользовался такими штуками. не знаю. Может быть и есть. Я ж пишу, лучше всего в отдельной консоли полностью отдельную сессию другого юзера запустить.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Отдельная сессия исключено, тогда проще использовать виртуалку уже.

Вся идея в том, чтобы внутри одной сессии иметь окна от разных пользователей и окружений, весь вопрос в том чтобы найти компромисс между удобством и безопасностью, как сделать мега-безопасно я знаю, но это неудобно.

cheetah111v
() автор топика