当前正在设置 xpra,它希望使用虚拟驱动程序以非 root 用户身份运行 X 实例,但系统 Xorg 二进制文件是 SUID。由于系统会自动更新,我不想制作和维护二进制文件的非 SUID 副本。我也试图避免使用像 copy-execute-delete 这样的 hack,例如在 tmp 目录中(更愿意让它成为一个干净的单行,我本能地认为这应该是可能的,尽管可能存在一些微妙的安全漏洞此功能将打开)。符号链接是可以接受的,尽管 AFAIK 它们不提供权限位屏蔽功能。
我目前最好的解决方案是 bin 目录上的 nosuid 绑定安装,这似乎可以解决问题,但如上所述,我仍然更喜欢一个不会在我的系统树/fstab 中留下 crunk 的解决方案(例如一些神奇的环境变量以与 nosuid 挂载相同的方式禁用 suid,或者某些命令行执行绕过 suid 机制的 jutsu)。
有什么想法吗?