53830 2025-04-12 20:31:11 +0300 hardware-facing Xorg either escalates or is non-executable 2025-05-20 17:06:44 +0300 1 1 4 Development Sisyphus xorg-server-control unstable all Linux CLOSED FIXED P5 normal --- 1 arseny arseny ldv shrek zerg qa-sisyphus oldest_to_newest 262918 0 arseny 2025-04-12 20:31:11 +0300 # grep fmode /etc/control.d/facilities/xorg-server new_fmode public 4711 root root new_fmode xgrp 4710 root xgrp new_fmode restricted 700 root root control_fmode "$BINARY" "$*" || exit 1 Я относительно недавно узнал, что у нас нет механизмов запуска rootless Xorg. Т. е. нужно либо быть рутом (но как сброситься потом?), либо он суидный; варианта `711 root root` нет. Если не убирать суид, то в пустом $HOME (без skel-контента) кто-то создаёт `.cache/` с правами 700 root, чтобы положить туда `mesa_shader_cache*`. Если убрать, то владелец у `.cache` правильный. (только адептам церкви anti-sudo не рассказывайте!) 262919 1 arseny 2025-04-12 20:32:00 +0300 (In reply to Arseny Maslennikov from comment #0) > Если не убирать суид, то в пустом $HOME (без skel-контента) кто-то создаёт > `.cache/` с правами 700 root, чтобы положить туда `mesa_shader_cache*`. https://gitlab.freedesktop.org/mesa/mesa/-/blob/9d359c6d10adb1cd2978a0e13714a3f98544aae8/src/util/disk_cache_os.c#L897 262920 2 arseny 2025-04-12 20:36:35 +0300 В нынешние времена же всё, для чего иксам были нужны привилегии рута, либо управляется seatd/logind, либо вынесено в ядерные модули. По идее, suid bit на Xorg не нужен вообще. Вариант решения: https://git.altlinux.org/tasks/381211/ Может быть, имеет смысл не 711 root root, а 710 root xgrp. Или оба. Нужен инпут от специалистов по графонию. 265228 3 arseny 2025-05-20 17:06:44 +0300 https://git.altlinux.org/tasks/381211/logs/events.4.1.log Бежит в сизиф. #300 xorg-server-control 1.3-alt1 -> 1.4-alt1 Thu Apr 10 2025 Arseny Maslennikov <arseny@altlinux> 1.4-alt1 - Introduced unprivileged (a.k.a. rootless) mode for X servers. In this mode, just like in restricted mode, X servers have no way to gain root privileges, but can be executed by any user. Rootless mode makes sense in a KMS/DRM environment.