AdminSysGNULinux

Outils pour utilisateurs

Outils du site

Piste : firefox_sudo
tech:firefox_sudo

Table des matières

, , ,

Notes Firefox sudo compte dédié

Pourquoi ne pas créer autant de UID que d'applications (comme c'est la cas sous Android) En tout cas, il est pertinent pour des raisons de séurité d'isoler les applications sensibles ou particulièrement exposées.

Nous avons le choix entre :

  • un uid / utilisateur dédié
  • un chroot
  • une VM

Ici nous avons opté pour la 1ere solution.

https://calum.org/posts/running-firefox-as-another-user-using-sudo 

chgrp web1 /run/user/$(id -u)
chmod 750 /run/user/$(id -u)
chgrp web1 -R  /run/user/$(id -u)/pulse
chmod -R 770 /run/user/$(id -u)/pulse
xhost local:web1
sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh

compte-de-test

Pour le Dossier Téléchargement voir partage_dossier_acl_umask

sudoers 

User_Alias  X_USERS = jean
Defaults:X_USERS env_reset
Defaults:X_USERS env_keep += DISPLAY
Defaults:X_USERS env_keep += XAUTHORITY

jean ALL=(web1) NOPASSWD: /bin/bash /home/web1/bin/ff.sh

/home/web1/bin/ff.sh 

#! /bin/bash
 
umask 007
 
/usr/bin/iceweasel

iceweasel.desktop 

#!/usr/bin/env xdg-open
 
[Desktop Entry]
Encoding=UTF-8
Name=Iceweasel1
Comment=PlayOnLinux
Type=Application
#Exec=bash -c "chgrp web1 /run/user/1001 ; chmod 750 /run/user/1001; chgrp web1 -R  /run/user/1001/pulse ; chmod -R 770 /run/user/1001/pulse ; xhost local:web1 ; sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh"
Exec=bash -c "xhost local:web1 ; sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh"
Icon=/usr/share/icons/hicolor/48x48/apps/iceweasel.png
Name[fr_FR]=Iceweasel1
Categories=
 
Terminal=false
Icon[fr_FR]=/usr/share/icons/hicolor/48x48/apps/iceweasel.png
Comment[fr_FR]=PlayOnLinux

Activation du son (PulseAudio)

http://billauer.co.il/blog/2014/01/pa-multiple-users/

Dans la session de l'utilisateur standard 

cp /etc/pulse/default.pa ~/.pulse/
echo "load-module module-native-protocol-unix auth-anonymous=1 socket=/tmp/my-pulse-socket-name" >> ~/.pulse/default.pa

Dans la session dédiée (Web1 dans notre exemple)

~/.config/pulse/client.conf 

default-server = unix:/tmp/my-pulse-socket-name

Partage du dossier Téléchargements entre les deux utilisateurs

/etc/fstab 

/home/jean/Téléchargements	/home/web1/Téléchargements none bind,nodev,nosuid,noexec,acl 0 0

Ajout de jean au groupe web1 

adduser jean web1

Téléchargements de web1 pointera vers le dossier Téléchargements de jean 

mount /home/web1/Téléchargements

web1 est le groupe propriétaire des fichiers (groupe dont fait partie jean et web1) 

chgrp -R web1 /home/web1/Téléchargements

Droits en rwX pour le groupe web1 

chmod -R g+rwX /home/web1/Téléchargements

Les nouveaux fichiers crée dans Téléchargements aurons pour groupe web1 

chmod g+s /home/web1/Téléchargements

Les nouveaux fichiers créés dans Téléchargements serons en rwX (pour le groupe web1) 

setfacl -R -d -m g::rwX /home/web1/Téléchargements
tech/firefox_sudo.txt · Dernière modification : de Jean-Baptiste
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki