对于图形应用程序来说,为什么 pkexec 比 gksudo 更受欢迎?

对于图形应用程序来说,为什么 pkexec 比 gksudo 更受欢迎?

请提供反驳此观点的 Ubuntu 文档:https://help.ubuntu.com/community/RootSudo为什么在我完全更新的 13.04 系统上,pkexec 不起作用?

$ pkexec gedit somefile.txt
No protocol specified

** (gedit:13135): WARNING **: Could not open X display
Cannot open display: 
Run '/usr/bin/gedit --help' to see a full list of available command line options

答案1

为什么它不起作用?

默认情况下pkexec不允许您运行图形 (X11) 应用程序。从手册页

PROGRAM 运行的环境将被设置为最小已知且安全的环境,以避免通过 LD_LIBRARY_PATH 或类似机制注入代码。此外,PKEXEC_UID 环境变量设置为调用 pkexec 的进程的用户 ID。因此,由于未设置 $DISPLAY 和 $XAUTHORITY 环境变量,pkexec 将不允许您以其他用户身份运行 X11 应用程序。如果操作上的 org.freedesktop.policykit.exec.allow_gui 注释设置为非空值,则这两个变量将被保留;但是,不鼓励这样做,并且只应用于旧版程序。

正如手册页所述,你可以让它工作,尽管我真的不知道这是否危险或值得

例如,要启用 gedit,您可以创建/usr/share/polkit-1/actions/com.ubuntu.gedit.policy以下内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
 "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd">
<policyconfig>
  <vendor>gedit</vendor>
  <vendor_url>gedit</vendor_url>
  <icon_name>accessories-text-editor</icon_name>
  <action id="org.freedesktop.policykit.pkexec.gedit">
   <description>Run "gedit"</description>
   <message>Authentication is required to run Text Editor</message>
   <defaults>
     <allow_any>auth_admin</allow_any>
     <allow_inactive>auth_admin</allow_inactive>
     <allow_active>auth_admin</allow_active>
   </defaults>
     <annotate key="org.freedesktop.policykit.exec.path">/usr/bin/gedit</annotate>
     <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
   </action>  
</policyconfig>

然后pkexec gedit应该按预期工作:

截屏

正如您所猜测的,这只会起作用gedit。理论上,如果您添加allow_gui到“org.freedesktop.policykit.exec”(默认操作),这应该适用于所有应用程序,但在我的测试中,我得到的结果与您的相同。

为什么首选 pkexec?

这里您可以找到有关的优势的讨论pkexec

相关内容