Názory k článku
Debian používá xorg bez práv roota
-
O téhleté novince jsem nevěděl - díky. Zprvu jsem kouknul na místo pod home kde má být log a tam nic. Pak mi došlo, že když to startuje display manager, tak to logy dává na staré známé místo /var/log/Xorg.N.log. Tedy do toho ~/.local/share/xorg/ to loguje jenom když server spustí uživatel (startx).
-
root 830 0.0 0.0 365300 7264 ? Ssl Nov02 0:00 /usr/sbin/gdm3 root 859 0.0 0.0 240064 7184 ? Sl Nov02 0:00 \_ gdm-session-worker [pam/gdm-launch-environment] Debian-+ 942 0.0 0.0 180004 4140 tty7 Ssl+ Nov02 0:00 | \_ /usr/lib/gdm3/gdm-wayland-session /usr/bin/gnome-session --autostart /usr/share/gdm/greeter/autostart --session gnome-wayland Debian-+ 946 0.0 0.0 52072 4208 tty7 S+ Nov02 0:00 | \_ dbus-daemon --print-address 3 --session Debian-+ 953 0.0 0.1 539236 11288 tty7 Sl+ Nov02 0:00 | \_ /usr/lib/gnome-session/gnome-session-binary --autostart /usr/share/gdm/greeter/autostart --session gnome-wayland Debian-+ 967 0.0 1.7 1495164 132840 tty7 Sl+ Nov02 0:25 | \_ gnome-shell --mode=gdm --wayland --display-server Debian-+ 988 0.0 0.6 269256 49796 tty7 Sl+ Nov02 0:00 | | \_ /usr/bin/Xwayland :1024 -rootless -noreset -listen 4 -listen 5 -displayfd 6 Debian-+ 1030 0.0 0.5 1058380 41492 tty7 Sl+ Nov02 0:01 | \_ /usr/lib/gnome-settings-daemon/gnome-settings-daemon root 1281 0.0 0.1 246256 7648 ? Sl Nov02 0:00 \_ gdm-session-worker [pam/gdm-password] ondrej 1303 0.0 0.0 199172 5296 tty2 Ssl+ Nov02 0:00 \_ /usr/lib/gdm3/gdm-x-session --run-script default ondrej 1305 0.8 0.5 331352 42240 tty2 Sl+ Nov02 16:13 \_ /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -nolisten tcp -background none -noreset -keeptty -verbose 3 -
Ondra Satai NekolaZlatý podporovatelKdyz je v X serveru nejaky bezpecnostni problem, tak utocnik (minimalne na zacatku) ziska mensi prava. (Zda to ma vetsi smysl pro bezny notebook/desktop s jednim uzivatelem je jina, tam jsou preci jenom rizika nekde jinde nez u viceuzivatelskych grafickych pracovnich stanic z devadesatek,)
-
Vše, co běží s rootem, může být (potenciálně) zneužito. X.org má nastaven SUID root, takže když ho někdo spustí a obelstí, může se stát něco neočekávaného (elevace oprávnění, zásah do chráněných souborů, přístup do chráněné paměti apod.). X.org má proto nějakou dobu už wrapper, který je SUID a je malý (omezení množství kódu, kde může být chyba) - ale stále to neřeší problém, že X server provede na poťouchlý pokyn něco neočekávaného (nebezpečného).
-
Zretelne ano, zkuste Google. BTW, kdysi davno se distra ptavala pri instalaci, zda spoustet X pod rootem nebo ne.
Krome toho vy pisete "SystemD znižuje bezpečnosť keď jednoducho nespúšťa aplikácie pod rootom". Ponechame-li stranou, ze jste asi chtel rici "zvysuje", tak i pred systemd na Linuxu behalo pod jinym uzivatelem kdeco.
-
Peter (neregistrovaný)
Áno, a preto sa doteraz spúšťa X mimo SystemD s oprávneniami roota.
Len ma zaujímalo koľko miestnych trolov sa tu ukáže s tvrdením, že SystemD je nebezpečný, a že Leonid musí zomrieť lebo jeho nápad je (veľa krát zrecyklovaná citácia z dielne MS) rakovina. Už sa tu zliezajú, jak muchy na ...
-
Peter (neregistrovaný)
Takže tá prastará otázka pri inštalácii či má bežať X pod rootom alebo nie bola falošná keďže to bez DRM/KMS ovládača doteraz nebolo možné. A to že to reálne funguje len krátku dobu, a to len s pomocou SystemD je tým pádom náhoda.
Presne na to som narážal. Ľudia odsudzujú to, čo nepoznajú. Len tie tvoje fekálne predstavy tomu dávajú korunku krásy.
-
Ja rikam, ze to, ze ted X jede bez roota, s nejvetsi pravdepodobnosti neni zasluhou systemd. Take rikam, ze ke spousteni obecnych aplikaci pod jinym uzivatelem, nez root, neni nutny systemd. Mozna, ze je to potreba pro X, ale ne pro jine veci. Vy jste napsal, ze "SystemD znižuje bezpečnosť keď jednoducho nespúšťa aplikácie pod rootom". Tedy asi zvysuje, ze. No, ruzne servery a daemony pod Linuxem jedou pod jinym uzivatelem od dob sereho davnoveku. Urcite se nejedna o vynalez soudruha Poetteringa. Tak tomu totiz bylo uz davno, jeste v dobach, kdy Torvalds tahal kacera a i pred tim.
-
Hele, tajdle mas navod, kdyz si ho neumis vygooglovat sam: http://lwn.net/Articles/590296/ . Jak vyplyva z tohoto a dalsich textu, neni problem v absenci systemd, ale v absenci podpory KMS v nekterych ovladacich grafickych karet. Typicky se jedna o proprietarni ovladace. Takze nevim, co si mam overovat. Over si ty. Pokud nemas nejakou zasranou grafarnu s dementnim proprietarnim ovladacem, muzes si to rozchodit i bez systemd.
-
Aby běžely X plnohodnotně bez práv roota, potřebují něco, kdo za ně bude spravovat přístupy k device nodes a spravovat sezení. A to dokáže právě systemd-logind. Šlo by to bez něj? Jistě ano jako ostatně cokoliv s neomezeným časem a počtem vývojářů. systemd-logind už ale většinu té funkcionality mělo kvůli přípravě na Wayland, takže bylo nejsnadnější to rozchodit právě s ním.
-
No jiste, ty to uz mas otestovane a zjistil jsi, ze tam ten clovek mluvi z cesty.
Rootless X je problem, ktery resi ruzne texty, ktere najdes na Googlu. Kdyz to nekdo resil a vydal navod, jak to udelat, tak asi proto, ze to jde. X ma na to wrapper a v jadre je na to KMS. Systemd neni potreba a resit to pres nej je opravdu spatny napad. Az zase jednou systemd upadne v nemilost a bude nahrazen jinou vifikundaci, bude se moci zacit znova. Modnich daemonu v Linuxu jsem uz par videl a take jsem videl, jak zmizely, nahrazeny jinym resenim. Treba devfsd.
-
Peter (neregistrovaný)
Ten človek z tvojho linku písal zhrnutie odkazov na kolene zbúchaných voodoo mágií fungujúcich len v náhodných prípadoch. Táto správička je o funkčnom riešení poskytovanom priamo v distribúciou fungujúcou out of the box. Ak preferuješ na kolene zbúchané riešenia, tak prezraď akým prehliadačom si pozeráš internet. Je to bash s telnetom, alebo netcat?
-
To, ze se dane reseni v distrech nepouziva, presto ze X server na to ma wrapper a jadro KMS ovladac, muze mit ruzne priciny. Napriklad konzervativizmus. Nebo se s tim nikomu nechtelo delat. Anebo treba proto, ze diky absenci podpory KMS v rade (proprietarnich) driveru by toto reseni nebylo spolehlive, protoze by fungovalo pouze s nekterymi grafikami.
A kdyby sis alespon precetl stranku odkazovanou ze zpravicky, docetl by ses, ze "If you are trying to avoid logind or you're using a graphics processor not backed by a modern DRM/KMS driver, you will need to install the xserver-xorg-legacy package to let the X.Org Server run as root."
Takze jak vidis, reseni s tim uzasnym systemd trpi presne tim samym problemem, jako reseni s wrapperem: Pokud ovladac grafiky neumi DRM/KMS, tak jsi v prdeli jak Bata s drevakam a budes X server stejne provozovat pod rootem. A jestli se ti to nelibi, muzes leda tak napsat vyvojarum ovladacu nVidia.
Takze to asi muzeme uzavrit: Poettering akorat zase duplikuje funkcionalitu, ktera jiz existuje jinde.
-
Ke konzervativizmu casto existuji dobre duvody. Nasazeni Poetteringovych beta verzi s ficurami, ktere mohl vymyslet akorat widlacky idiot, je opravdu blby napad. To, ze to lidem v distrech vetsinou nejak funguje, neznamena, ze s tim nejsou potize, ale spis to, ze to distro pouzivaji typickym zpusobem. To ovsem neplati o mene typickych instalacich, jako servery. Viz nedavna historka cloveka zde na foru, kteremu se chytre prejmenovavaji sitove karty, kdykoliv vytahne grafarnu, protoze chce headless server. Joj, to je ale prinos! Nebyt systemd, z zivota dnesniho cloveka by uplne zmizely zahady a dobrodruzstvi.
A opakuji: X bezi bez roota diky KMS, ne diky systemd, protoze to lze i bez nej. Az systemd prijde s podporou rootless X i pro karty, ktere nemaji v driveru podporu KMS, tak budes moci rici, ze systemd prisel s necim novym. Zatim tomu tak neni.
-
Peter (neregistrovaný)
Ak máš k tomu konzervativizmu napríklad spomínaný dôvod že /etc/mtab musí byť statický, tak pochopíš že je to zlý dôvod ak budeš mať root FS bez zápisu a odpáli ti to korektné odpojenie aplikačných diskov. Ja som mal /etc/mtab symlink na /proc/self/mounts dávno pred systemd, a mal som na to dobré dôvody. Tak dobré, že ich človek zamrznutý v minulom tisícročí nepochopí.
-
Pepan (neregistrovaný)
chtěl bych se zeptat na budoucnost xorg. Jestli půjde v budoucnu nainstalovat do distribucí které přejdou na Mir(Ubuntu) a na Wayland ostatní distra. Jde mi o to proč bych měl pro drtivou většinu aplikací používat zpomalovač Xwayland nebo Xmir. Ještě bych se rád dozvěděl jak bude aplikace napsaná pro Mir, nebo Wayland fungovat v Xorg?
-
Palo (neregistrovaný)
http://wayland.freedesktop.org/
Architecture a FAQ ti mozu dost pomoct.
