# grep fmode /etc/control.d/facilities/xorg-server new_fmode public 4711 root root new_fmode xgrp 4710 root xgrp new_fmode restricted 700 root root control_fmode "$BINARY" "$*" || exit 1 Я относительно недавно узнал, что у нас нет механизмов запуска rootless Xorg. Т. е. нужно либо быть рутом (но как сброситься потом?), либо он суидный; варианта `711 root root` нет. Если не убирать суид, то в пустом $HOME (без skel-контента) кто-то создаёт `.cache/` с правами 700 root, чтобы положить туда `mesa_shader_cache*`. Если убрать, то владелец у `.cache` правильный. (только адептам церкви anti-sudo не рассказывайте!)
(In reply to Arseny Maslennikov from comment #0) > Если не убирать суид, то в пустом $HOME (без skel-контента) кто-то создаёт > `.cache/` с правами 700 root, чтобы положить туда `mesa_shader_cache*`. https://gitlab.freedesktop.org/mesa/mesa/-/blob/9d359c6d10adb1cd2978a0e13714a3f98544aae8/src/util/disk_cache_os.c#L897
В нынешние времена же всё, для чего иксам были нужны привилегии рута, либо управляется seatd/logind, либо вынесено в ядерные модули. По идее, suid bit на Xorg не нужен вообще. Вариант решения: https://git.altlinux.org/tasks/381211/ Может быть, имеет смысл не 711 root root, а 710 root xgrp. Или оба. Нужен инпут от специалистов по графонию.
https://git.altlinux.org/tasks/381211/logs/events.4.1.log Бежит в сизиф. #300 xorg-server-control 1.3-alt1 -> 1.4-alt1 Thu Apr 10 2025 Arseny Maslennikov <arseny@altlinux> 1.4-alt1 - Introduced unprivileged (a.k.a. rootless) mode for X servers. In this mode, just like in restricted mode, X servers have no way to gain root privileges, but can be executed by any user. Rootless mode makes sense in a KMS/DRM environment.
