X-Anwendungen mit den Rechten eines anderen Benutzers ausführen
|
Review: Dieser Artikel ist für das Review freigegeben.
|
Dieser Artikel soll dir zeigen, wie man grafische Anwendungen unter einem anderen Benutzer ausführen kann.
Einleitung
Ich hatte mir mal Gedanken gemacht, was eigentlich bei mir am meisten gefährdet ist. Und im Endeffekt waren es alle Programme, die auf das Netzwerk zugreifen. Die meisten davon laufen eh unter eigenen Benutzer, aber speziell der Webbrowser Iceweasel/Firefox halt nicht.
Ich wollte ich eine Lösung aufzeigen, die mich insoweit absichern, dass bei einem ausgenutzten Bug der Webbrowser nicht an meine Daten kommt. Dieser ist zwar nicht Root, aber mein $HOME-Verzeichnis könnte ausgelesen und geschrottet werden.
Benutzer erstellen
Zuerst mal muss ein User erstellt werden, der nur für den Webbrowser zuständig ist (Hier als Beispiel internetuser)
root@debian:~# adduser --system --disabled-login --ingroup $USER --shell /bin/false internetuser
root@debian:~# adduser internetuser audio
root@debian:~# adduser internetuser video
Skript das Programme unter dem anderen Benutzer startet anlegen
Dieses Skript startet die jeweiligen Anwendungen unter dem anderen Benutzer und so mit fremden Rechten.
root@debian:~# editor /usr/local/bin/start
#!/usr/bin/env bash # 1. Parameter = DISPLAY # 2. Parameter = MIT COOKIE # 3. Parameter = Anwendungen # ab 4. = Parameter für die Anwendungen DISPLAY=$1 COOKIE=$2 APP=$3 # Hack, weil das leider nicht korrekt gesetzt wird export XAUTHORITY=$HOME/.Xauthority /usr/bin/xauth add $DISPLAY MIT-MAGIC-COOKIE-1 $COOKIE export DISPLAY shift 3 $APP "$@"
Und das Skript ausführbar machen:
root@debian:~# chmod go+rx /usr/local/bin/start
sudo einrichten
Ohne folgende sudo-Regel geht es nicht:
dein_user_name, internetuser ALL=(internetuser) NOPASSWD: /usr/local/bin/start
KDE-Variante
Nutzer von KDE haben es einfacher und können sich die Arbeit mit sudo ersparen. Das funktioniert wie folgt:
Zuerst mit root den Nutzer anlegen und ihm ein Passwort vergeben (in diesem Fall internetuser):
root@debian:~# useradd -md /home/internetuser -s /bin/bash internetuser
root@debian:~# passwd internetuser
Enter new UNIX password:
Retype new UNIX password:
passwd: Kennwort erfolgreich geändert
Im K-Menü den Menüpunkt Internet auswählen und anschließend auf den Eintrag Iceweasel Web Browser mit der rechten Maustaste klicken. In dem sich nun öffnenden Menü auf Eintrag bearbeiten klicken.
Es öffnet sich nun der KDE-Menü-Editor mit dem schon vorgeladenen Eintrag für Iceweasel. Nun auf die Schaltfläche Mit anderer Benutzerkennung ausführen klicken. Das grau unterlegte Benutzername-Feld wird nun aktiviert. Anschließend nur noch in das Feld den Namen des gewünschten Nutzers (hier:internetuser) eintragen, die Einstellungen unter Datei->Speichern abspeichern und schon wird Iceweasel beim nächsten Start als Benutzer internetuser aufgerufen.
Dateirechte setzen und Datenaustausch einrichten
root@debian:~# chown :nogroup /home/internetuser/
root@debian:~# -R $HOME go-rwx
root@debian:~# -R $HOME/Downloads $HOME/Musik $HOME/Videos g+rx
root@debian:~# ln -s -t /home/internetuser/ $HOME/Downloads $HOME/Musik $HOME/Video
Programme mit den fremden Rechten starten
Als Beispiel der Webbrowser (Iceweasel/Firefox):
Damit nun Anwendungen immer als internetuser laufen, müssen diese in /usr/local/bin/ "überschrieben" werden (Siehe auch Wrapper-Scripts).
root@debian:~# editor /usr/local/bin/iceweasel
#!/bin/sh
umask 077
sudo -H -u internetuser /usr/local/bin/start $DISPLAY $(xauth list $DISPLAY |awk '{print $3}') /usr/bin/iceweasel "$@"
Und das Skript ausführbar machen:
root@debian:~# chmod go+rx /usr/local/bin/iceweasel
Beim Webbrowser gibt es jedoch noch mehr Möglichkeiten diesen zu starten, weshalb hier speziell auch folgende weitere Aufrufe "überschrieben" werden müssen:
- gnome-www-browser
- sensible-browser
- x-www-browser
Anwendungen die aus dem Webbrowser heraus gestartet werden, laufen dann auch unter dem Benutzer internetuser. Das sollte jedoch nicht als Einschränkung gesehen werden. Im Gegenteil sollten zB. folgende weitere Anwendungen genauso Standardmäßig mit den fremden Rechten starten:
- Medien-Player wie VLC
- Feedreader wie Liferea
Wie man dies einrichtet siehe das Webbrowser-Beispiel oben.