Forum: >>> Magnum BBS <<<

'gio: Setting attribute metadata::trusted not supported'

From [email protected]@21:1/5 to All on Tue Mar 14 11:50:01 2023

Bonjour,

Je fais suite au fil de discussion debian 11 - créer une "desktop icon"... simplement .
J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer qui exécute ce script). Impeccable.

A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...).
Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo :

sudo -u "${SUDO_USER}" bash -c 'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true' &> /dev/null

Ça semble faire exactement ce que ferait l'utilisateur avec un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file as program").

Le résultat obtenu est opérationnel , sauf cachotterie du système...
Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :

gio: Setting attribute metadata::trusted not supported

D'où le &> /dev/null pour masquer ce message.

Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, également).

Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?)
Comment diagnostiquer ça ?

Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je n'ai jamais eu besoin de GUI...)

Autrement dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

Merci.

<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div data-marker="__QUOTED_TEXT__"><div style="font-family:'arial' , 'helvetica' , sans-serif;font-size:12pt;color:#000000"><div>Bonjour,<br></div><br><

Je fais suite au fil de discussion <strong><span class="subject" id="zv__CLV-main__CV__header_subject" title="debian 11 - créer une "desktop icon"... simplement">debian </span><span class="subject" id="zv__CLV-main__CV__header_subject"

title="debian 11 - créer une "desktop icon"... simplement">11 - créer une "desktop icon"... simplement</span></strong>.</div>J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner
les droits 700 (pour le sudoer qui exécute ce script). Impeccable.<br><br><div>A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...). </div><div>Je suis allé jusqu'à les modifier avec cette
commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo   :<br></div><br><div><div style="color:#d4d4d4;background-color:#1e1e1e;font-
family:'droid sans mono' , 'monospace' , monospace;font-weight:normal;font-size:14px;line-height:19px;white-space:pre"><div><span style="color:#d4d4d4"><br></span></div><div><div style="color: #d4d4d4; background-color: #1e1e1e; font-family: 'Droid Sans
Mono', 'monospace', monospace; font-weight: normal; font-size: 14px; line-height: 19px; white-space: pre;" data-mce-style="color: #d4d4d4; background-color: #1e1e1e; font-family: 'Droid Sans Mono', 'monospace', monospace; font-weight: normal; font-size:
14px; line-height: 19px; white-space: pre;"><div><span style="color: #d4d4d4;" data-mce-style="color: #d4d4d4;"> sudo </span><span style="color: #ce9178;" data-mce-style="color: #ce9178;">-u</span><span style="color: #d4d4d4;" data-mce-style="color: #
d4d4d4;"> </span><span style="color: #ce9178;" data-mce-style="color: #ce9178;">"${SUDO_USER}"</span><span style="color: #d4d4d4;" data-mce-style="color: #d4d4d4;"> </span><span style="color: #ce9178;" data-mce-style="color: #ce9178;">bash</span><span
style="color: #d4d4d4;" data-mce-style="color: #d4d4d4;"> </span><span style="color: #ce9178;" data-mce-style="color: #ce9178;">-c</span><span style="color: #d4d4d4;" data-mce-style="color: #d4d4d4;"> </span><span style="color: #ce9178;" data-mce-style="
color: #ce9178;">'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true'</span><span style="color: #d4d4d4;" data-mce-style="color: #d4d4d4;"> </span><span style="color: #6a9955;" data-mce-style="color: #6a9955;">&> /dev/null </span></

</div></div><div><span style="color:#6a9955"><br></span></div></div></div><br><div>Ça semble faire exactement ce que ferait l'utilisateur avec un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit

Properties > Permissions > "Allow executing file as program").<br></div><br><div>Le résultat obtenu est <strong>opérationnel</strong>, sauf cachotterie du système...</div><div>Mais le script exécuté par l'utilisateur en tant que sudoer affiche
un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :<br></div><br><div><span style="font-family:'courier new' , 'courier' , 'monaco' , monospace , sans-serif">  gio: Setting attribute
metadata::trusted not supported</span></div><br><div>D'où le &> /dev/null pour masquer ce message.<br></div><br><div>Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, é
galement).<br></div><br><div>Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?)<br></div><div>Comment diagnostiquer ça ?<br></div><br><div>Y a-t-il un
rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je n'ai jamais eu besoin de GUI...)<br></div><div><br data-mce-bogus="1"></div><div>Autrement
dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?<br data-mce-bogus="1"></div><br><div>Merci.</div></div></div></div></body></html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From [email protected]@21:1/5 to All on Thu Mar 16 01:20:01 2023

Qui d'entre vous a déjà utilisé cette commande 'gio set' ?
Merci.

De: "roger tarani" <[email protected]>
À: "Liste Debian" <[email protected]>
Envoyé: Mardi 14 Mars 2023 11:47:31
Objet: 'gio: Setting attribute metadata::trusted not supported'

Bonjour,

Je fais suite au fil de discussion debian 11 - créer une "desktop icon"... simplement .
J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer qui exécute ce script). Impeccable.

A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...).
Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo :

sudo -u "${SUDO_USER}" bash -c 'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true' &> /dev/null

Ça semble faire exactement ce que ferait l'utilisateur avec un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file as program").

Le résultat obtenu est opérationnel , sauf cachotterie du système...
Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :

gio: Setting attribute metadata::trusted not supported

D'où le &> /dev/null pour masquer ce message.

Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, également).

Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?)
Comment diagnostiquer ça ?

Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je n'ai jamais eu besoin de GUI...)

Autrement dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

Merci.

<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Qui d'entre vous a déjà utilisé cette commande 'gio set' ?<br></div><div>Merci.<br data-mce-bogus="1"></div><div><br></div><hr id="zwchr" data-
marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"roger tarani" <[email protected]><br><b>À: </b>"Liste Debian" <[email protected]><br><b>Envoyé: </b>Mardi 14 Mars 2023 11:47:31<br><b>Objet: </b>'gio:
Setting attribute metadata::trusted not supported'<br></div><div><br></div><div data-marker="__QUOTED_TEXT__"><div style="font-family:'arial' , 'helvetica' , sans-serif;font-size:12pt;color:#000000"><div><div style="font-family:'arial' , 'helvetica' ,
sans-serif;font-size:12pt;color:#000000"><div>Bonjour,<br></div><br><div>Je fais suite au fil de discussion <strong><span class="subject" id="zv__CLV-main__CV__header_subject" title="debian 11 - créer une "desktop icon"... simplement">debian </
span><span class="subject" id="zv__CLV-main__CV__header_subject" title="debian 11 - créer une "desktop icon"... simplement">11 - créer une "desktop icon"... simplement</span></strong>.</div>J'avais pu, avec un script bash exécuté par un
sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer qui exécute ce script). Impeccable.<br><br><div>A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...
). </div><div>Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo   :<br></div><br><

<div style="color:#d4d4d4;background-color:#1e1e1e;font-family:'droid sans mono' , 'monospace' , monospace;font-weight:normal;font-size:14px;line-height:19px;white-space:pre"><div><span style="color:#d4d4d4"><br></span></div><div><div style="color:#

d4d4d4;background-color:#1e1e1e;font-family:'droid sans mono' , 'monospace' , monospace;font-weight:normal;font-size:14px;line-height:19px;white-space:pre"><div><span style="color:#d4d4d4"> sudo </span><span style="color:#ce9178">-u</span><span style="
color:#d4d4d4"> </span><span style="color:#ce9178">"${SUDO_USER}"</span><span style="color:#d4d4d4"> </span><span style="color:#ce9178">bash</span><span style="color:#d4d4d4"> </span><span style="color:#ce9178">-c</span><span style="color:#d4d4d4"> </
span><span style="color:#ce9178">'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true'</span><span style="color:#d4d4d4"> </span><span style="color:#6a9955">&> /dev/null </span></div></div></div><div><span style="color:#6a9955"><br></
span></div></div></div><br><div>Ça semble faire exactement ce que ferait l'utilisateur avec un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file
as program").<br></div><br><div>Le résultat obtenu est <strong>opérationnel</strong>, sauf cachotterie du système...</div><div>Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné
(ce qui serait un comble pour un message d'erreur !) :<br></div><br><div><span style="font-family:'courier new' , 'courier' , 'monaco' , monospace , sans-serif">  gio: Setting attribute metadata::trusted not supported</span></div><br><div>D'où le &
amp;> /dev/null pour masquer ce message.<br></div><br><div>Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, également).<br></div><br><div>Comment expliquer que le changement
est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?)<br></div><div>Comment diagnostiquer ça ?<br></div><br><div>Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/
gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je n'ai jamais eu besoin de GUI...)<br></div><br><div>Autrement dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et
autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?<br></div><br><div>Merci.</div></div></div></div><br></div></div></body></html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From [email protected]@21:1/5 to All on Fri Mar 24 00:20:01 2023

Excusez-moi mais avez-vous déjà utilisé 'gio set' ??

Comment assurez-vous la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

De: "roger tarani" <[email protected]>
À: "Liste Debian" <[email protected]>
Envoyé: Mardi 14 Mars 2023 11:47:31
Objet: 'gio: Setting attribute metadata::trusted not supported'

Bonjour,

Je fais suite au fil de discussion debian 11 - créer une "desktop icon"... simplement .
J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer qui exécute ce script). Impeccable.

A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...).
Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo :

sudo -u "${SUDO_USER}" bash -c 'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true' &> /dev/null

Ça semble faire exactement ce que ferait l'utilisateur avec un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file as program").

Le résultat obtenu est opérationnel , sauf cachotterie du système...
Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :

gio: Setting attribute metadata::trusted not supported

D'où le &> /dev/null pour masquer ce message.

Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, également).

Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?)
Comment diagnostiquer ça ?

Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je n'ai jamais eu besoin de GUI...)

Autrement dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

Merci.

<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Excusez-moi mais avez-vous déjà utilisé 'gio set' ??<br></div><div><br data-mce-bogus="1"></div><div>Comment assurez-vous la sécurité du systè
me debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?</div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"roger tarani" <roger.
[email protected]><br><b>À: </b>"Liste Debian" <[email protected]><br><b>Envoyé: </b>Mardi 14 Mars 2023 11:47:31<br><b>Objet: </b>'gio: Setting attribute metadata::trusted not supported'<br></div><div><br></div><div data-marker="
__QUOTED_TEXT__"><div style="font-family:'arial' , 'helvetica' , sans-serif;font-size:12pt;color:#000000"><div><div style="font-family:'arial' , 'helvetica' , sans-serif;font-size:12pt;color:#000000"><div>Bonjour,<br></div><br><div>Je fais suite au fil
de discussion <strong><span class="subject" id="zv__CLV-main__CV__header_subject" title="debian 11 - créer une "desktop icon"... simplement">debian </span><span class="subject" id="zv__CLV-main__CV__header_subject" title="debian 11 - créer
une "desktop icon"... simplement">11 - créer une "desktop icon"... simplement</span></strong>.</div>J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le
sudoer qui exécute ce script). Impeccable.<br><br><div>A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...). </div><div>Je suis allé jusqu'à les modifier avec cette commande exécutée en tant
que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo   :<br></div><br><div><div style="color:#d4d4d4;background-color:#1e1e1e;font-family:'droid sans mono' , '
monospace' , monospace;font-weight:normal;font-size:14px;line-height:19px;white-space:pre"><div><span style="color:#d4d4d4"><br></span></div><div><div style="color:#d4d4d4;background-color:#1e1e1e;font-family:'droid sans mono' , 'monospace' , monospace;
font-weight:normal;font-size:14px;line-height:19px;white-space:pre"><div><span style="color:#d4d4d4"> sudo </span><span style="color:#ce9178">-u</span><span style="color:#d4d4d4"> </span><span style="color:#ce9178">"${SUDO_USER}"</span><span style="color:
#d4d4d4"> </span><span style="color:#ce9178">bash</span><span style="color:#d4d4d4"> </span><span style="color:#ce9178">-c</span><span style="color:#d4d4d4"> </span><span style="color:#ce9178">'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted
true'</span><span style="color:#d4d4d4"> </span><span style="color:#6a9955">&> /dev/null </span></div></div></div><div><span style="color:#6a9955"><br></span></div></div></div><br><div>Ça semble faire exactement ce que ferait l'utilisateur avec
un clic droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file as program").<br></div><br><div>Le résultat obtenu est <strong>opérationnel</strong>, sauf
cachotterie du système...</div><div>Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :<br></div><br><div><span style="font-
family:'courier new' , 'courier' , 'monaco' , monospace , sans-serif">  gio: Setting attribute metadata::trusted not supported</span></div><br><div>D'où le &> /dev/null pour masquer ce message.<br></div><br><div>Je veux m'assurer que ce qui
marche aujourd'hui marchera, durablement, sur le système visé de l'utilisateur (debian 11, également).<br></div><br><div>Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par
quoi, pourquoi ?)<br></div><div>Comment diagnostiquer ça ?<br></div><br><div>Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien à part les noms, puisque je
n'ai jamais eu besoin de GUI...)<br></div><br><div>Autrement dit, comment assure-t-on la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?<br></div><br><div>
Merci.</div></div></div></div><br></div></div></body></html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From didier gaumet@21:1/5 to All on Fri Mar 24 11:00:01 2023

Le 24/03/2023 à 00:11, [email protected] a écrit :

Excusez-moi mais avez-vous déjà utilisé 'gio set' ??

Comment assurez-vous la sécurité du système debian quand on utilise un
GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

------------------------------------------------------------------------
*De: *"roger tarani" <[email protected]>
*À: *"Liste Debian" <[email protected]>
*Envoyé: *Mardi 14 Mars 2023 11:47:31
*Objet: *'gio: Setting attribute metadata::trusted not supported'

Bonjour,

Je fais suite au fil de discussion *debian 11 - créer une "desktop
icon"... simplement*.
J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer
qui exécute ce script). Impeccable.

A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...).
Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo :

sudo -u"${SUDO_USER}"bash-c'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true'&> /dev/null

Ça semble faire exactement ce que ferait l'utilisateur avec un clic
droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file
as program").

Le résultat obtenu est *opérationnel*, sauf cachotterie du système...
Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un
comble pour un message d'erreur !) :

gio: Setting attribute metadata::trusted not supported

D'où le &> /dev/null pour masquer ce message.

Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement,
sur le système visé de l'utilisateur (debian 11, également).

Comment expliquer que le changement est fait alors qu'un message suggère
que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?) Comment diagnostiquer ça ?

Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien
à part les noms, puisque je n'ai jamais eu besoin de GUI...)

Autrement dit, comment assure-t-on la sécurité du système debian quand
on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

Merci.

Bonjour,

Avertissement habituel: je n'utilise pas gio (la commande, j'utilise inconsciemment GIO/GVFS) donc ce que je dis est hautement sujet à vérification et contradiction,
mais en gros et de loin je me demande si ton message d'erreur n'est pas
causé par le fait que la commande gio set est exécutée par root ce qui pourrait poser problème (ressources GUI, utilisateur, et d'un point de
vue sécuritaire on considérerait que root n'a pas à s'en mêler). Donc peut-être que la commande gio set gagnerait à être exécutées sans élévation de privilèges?

(pure hypothèse peut-être fantaisiste et sans élément pour l'étayer solidement)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From [email protected]@21:1/5 to All on Fri Mar 24 22:20:01 2023

----- Mail original -----
De: "didier gaumet" <[email protected]>
À: "Liste Debian" <[email protected]>
Envoyé: Vendredi 24 Mars 2023 10:51:42
Objet: Re: Fwd: 'gio: Setting attribute metadata::trusted not supported'

Le 24/03/2023 à 00:11, [email protected] a écrit :

Excusez-moi mais avez-vous déjà utilisé 'gio set' ??

Comment assurez-vous la sécurité du système debian quand on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

------------------------------------------------------------------------
*De: *"roger tarani" <[email protected]>
*À: *"Liste Debian" <[email protected]>
*Envoyé: *Mardi 14 Mars 2023 11:47:31
*Objet: *'gio: Setting attribute metadata::trusted not supported'

Bonjour,

Je fais suite au fil de discussion *debian 11 - créer une "desktop
icon"... simplement*.
J'avais pu, avec un script bash exécuté par un sudoer, créer un lanceur sur le bureau avec une icône, lui donner les droits 700 (pour le sudoer
qui exécute ce script). Impeccable.

A cette occasion, j'ai aussi découvert les réglages de sécurité supplémentaires que j'ignorais (GUI...).
Je suis allé jusqu'à les modifier avec cette commande exécutée en tant que sudoer ('sudo monscript.sh'). A son tour, root ($USER, tandis que le sudoer est représenté par $SUDO_USER) exécuteune commande sudo :

sudo -u"${SUDO_USER}"bash-c'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true'&> /dev/null

Ça semble faire exactement ce que ferait l'utilisateur avec un clic
droit sur l'icône du lanceur "Allow launching" (ou dans le navigateur de fichiers ; clic droit Properties > Permissions > "Allow executing file
as program").

Le résultat obtenu est *opérationnel*, sauf cachotterie du système...
Mais le script exécuté par l'utilisateur en tant que sudoer affiche un message d'erreur contradictoire ou lui-même erroné (ce qui serait un comble pour un message d'erreur !) :

gio: Setting attribute metadata::trusted not supported

D'où le &> /dev/null pour masquer ce message.

Je veux m'assurer que ce qui marche aujourd'hui marchera, durablement,
sur le système visé de l'utilisateur (debian 11, également).

Comment expliquer que le changement est fait alors qu'un message suggère que cela n'est pas supporté ? (d'ailleurs : quoi, par quoi, pourquoi ?) Comment diagnostiquer ça ?

Y a-t-il un rapport à explorer avec pkexec ou lxqt-sudo (et les anciens gksu/gksudo, obsolètes) à explorer ? (dont je ne connais quasiment rien
à part les noms, puisque je n'ai jamais eu besoin de GUI...)

Autrement dit, comment assure-t-on la sécurité du système debian quand
on utilise un GUI (gnome, et autre xfce4) pour faire tourner un script requérant les droits d'un sudoer ?

Merci.

Bonjour,

Avertissement habituel: je n'utilise pas gio (la commande, j'utilise inconsciemment GIO/GVFS) donc ce que je dis est hautement sujet à vérification et contradiction,
mais en gros et de loin je me demande si ton message d'erreur n'est pas
causé par le fait que la commande gio set est exécutée par root ce qui pourrait poser problème (ressources GUI, utilisateur, et d'un point de
vue sécuritaire on considérerait que root n'a pas à s'en mêler). Donc peut-être que la commande gio set gagnerait à être exécutées sans élévation de privilèges?

(pure hypothèse peut-être fantaisiste et sans élément pour l'étayer solidement)

RT: le programme est exécuté par un sudoer :
sudo mon_prog.sh

et root exécute cette commande en tant que $SUDO_USER :
sudo -u "${SUDO_USER}" bash -c 'echo "${LAUNCHER}"; gio set "${LAUNCHER}" metadata::trusted true' &> /dev/null

Sinon (sans 'sudo -u "${SUDO_USER}" etc.') c'est root qui exécute la commande, et alors ça ne fonctionne pas du tout.

Je ne sais pas dire si "le système" fait la différence entre :
- l'utilisateur lambda qui exécute un programme en tant que sudoer, lequel programme exécute alors une commande 'gio set' concernant CE MÊME utilisateur.
- l'utilisateur lambda qui exécute une commande 'gio set'

D'un côté, j'aurais envie de dire oui, si on considère que "le système" peut savoir que c'est bien l'utilisateur lambda, sudoer autorisé comme root, qui confie à root le soin d'exécuter une commande pour l'utilisateur lambda. $SUDO_USER permet au
système de savoir que c'est lambda.
D'un autre côté, j'aurais envie de dire non, puisque dès lors que l'utilisateur agit comme sudoer, alors il agit en tant que root et n'est plus cet utilisateur lambda.

Mais pour répondre formellement, il faudrait connaître exactement le modèle de sécurité implémenté par linux debian.
Pour chercher ça, pouvez-vous expliquer où le module qui fait ça est logé ?

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From didier gaumet@21:1/5 to All on Sat Mar 25 10:20:01 2023

Le 24/03/2023 à 22:17, [email protected] a écrit :
[...]

et root exécute cette commande en tant que $SUDO_USER

désolé, comme souvent, j'ai lu trop vite ton message et n'avais pas
relevé ce point :-(

[...]

Mais pour répondre formellement, il faudrait connaître exactement le modèle de sécurité implémenté par linux debian.
Pour chercher ça, pouvez-vous expliquer où le module qui fait ça est logé ?

Clairement je suis incapable de te répondre: je ne connais pas assez les arcanes de GNU/Linux pour cela (pour moi c'est un problème general
Linux, avant d'être éventuellement un peu plus spécifique à Debian, potentiellement à cause de choses comme Apparmor)
Je ne sais même pas vers quelle doc t'orienter, c'est dire :-(

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Who's Online
Recent Visitors
- Krenn
  Mon Jun 8 11:22:02 2026
  from Sydney, Nsw via Telnet
- Bob Worm
  Mon Jun 8 08:26:26 2026
  from Wales, Uk via Telnet
- Spearb0y
  Mon Jun 8 06:51:02 2026
  from Massachusetts via SSH
- Krenn
  Mon Jun 8 05:45:38 2026
  from Sydney, Nsw via Telnet
- Bob Worm
  Sun Jun 7 20:58:28 2026
  from Wales, Uk via Telnet
- Michal Wronka
  Sun Jun 7 19:26:28 2026
  from Wroclaw, Poland via SSH
- Centurion
  Sun Jun 7 16:59:51 2026
  from Berea, Ohio via Telnet
- Furryboy
  Sun Jun 7 13:40:29 2026
  from Romania, Galati via SSH

System Info

Sysop:	Keyop
Location:	Huddersfield, West Yorkshire, UK
Users:	715
Nodes:	16 (2 / 14)
Uptime:	20:50:56
Calls:	12,104
Calls today:	4
Files:	15,004
Messages:	6,518,104

'gio: Setting attribute metadata::trusted not supported'

Who's Online

Recent Visitors

System Info