Безопасность - запуск от имени не привелегированного пользователя

[WiseMan]

Озадачился такой проблемой - как можно запускать приложения от имени определенного пользователя в рамках сеанса текущего пользователя? типа как  запускатся nautilus под root при необходимости.

Это интересно прежде всего с точки зрения безопасности. Например, было бы здорово запускать wine и все установленные в нем приложения внутри сеанса текущего пользователя, но в рамках и от имени другого отдельного пользователя, специально для этого созданного.

Кто знает как это можно сделать? может bash скрипт какой-то есть или другие способы.

в идеале бы вообще жестко ограничить запуск виндовых приложений только одним специальным пользователем.

[Kwah]

man sudo на предмет ключика -u ?

[WiseMan]

ага, спасибо. 

Правильно понимаю:
sudo [-bEHPS] [-p prompt] [-u username|#uid] - т.е. команда вида
sudo -u username не прокатит (пробовал)

Подскажите, пжта, какую из команд  [-bEHPS] лучше использовать в моем случае и не понял как использовать команду [-p prompt]

Можно ли затем как-то исправить ярлыки в меню "Приложения", чтобы добавить запуск от имени пользователя.

[Oni-chan]

а используемый username прописан в /etc/sudoers?
и, скорее всего, нужно писать
sudo -u username command_to_execute

[terrible_user]

Что бы пользователь 1 запустил wine от имени пользователя 2 - надо что бы в папке 1ого лежали конфиги .wine принадлежащие 2ому

[WiseMan]

а используемый username прописан в /etc/sudoers?
и, скорее всего, нужно писать

Я правильно понял. так он получит права root?  не, вот этого как раз противоречит безопасности

[Oni-chan]

а если не извращаться, то можно попробовать старый добрый su
sudo su username && command_to_execute ; exit
хотя тут, если не сработает su, может произойти выход из текущего сеанса

[WiseMan]

да я пробовал так и просто от рута пользователя запускать - не получается:
Application tried to create a window, but no driver could be loaded.
Make sure that your X server is running and that $DISPLAY is set correctly.
Application tried to create a window, but no driver could be loaded.
Make sure that your X server is running and that $DISPLAY is set correctly.

Хотя под текущем пользователем без проблем.

[Oni-chan]

а если добавить
export DISPLAY=:0

[WiseMan]

не помогает. Добавляю в конец все строки команды.

[ArcFi]

WiseMan,

Код: [Выделить]

arcfi@arcfi-laptop:~$ sudo -u tmp id
uid=1001(tmp) gid=1001(tmp) groups=1001(tmp)

arcfi@arcfi-laptop:~$ sudo -u tmp -i
tmp@arcfi-laptop:~$

И пользователя tmp не нужно добавлять в sudoers.