Как редактировать файлы в графических текстовых редакторах от имени root?

Время от времени мне нужно редактировать некоторые файлы, которые должны редактироваться только пользователем root.

Я бы очень предпочел делать это в графическом текстовом редакторе, а не используя командные инструменты, такие как nano или vi. Да, это вполне возможно делать с помощью любого из них или подобного, я просто недоволен этой опцией, потому что она неудобна по сравнению с работой в kate или gedit (это личное мнение; если у вас противоположное, это совершенно нормально, но я придерживаюсь своего).

Сказав это, я не хотел бы полностью компрометировать безопасность с помощью ядерного варианта xhost si:localuser:root. Существует ли какое-либо компромиссное решение (например, sudo, который, к сожалению, был специально усечен, когда дело касается запуска графических задач)?

1. URI admin://

В Ubuntu официальный способ редактирования системных файлов от имени root с помощью графического редактора — это использовать URI admin://. Например, чтобы отредактировать /etc/fstab, выполните следующую команду в диалоговом окне выполнения, которое вы получите после нажатия Alt+F2 или в терминале:

gedit admin:///etc/fstab

В более старых версиях Ubuntu (до 20.10) при первом выполнении этой команды вам нужно дважды ввести свой пароль. Это было исправлено в 20.10.

Конечно, ваш пользователь должен принадлежать к группе root, чтобы редактировать системные файлы.

2. Использование sudoedit

Подход, который будет работать в любой рабочей среде с любым редактором, — это использование sudoedit. Установите переменную окружения SUDO_EDITOR, чтобы она указывала на бинарный файл вашего графического редактора, например: export SUDO_EDITOR="/usr/bin/gedit". Затем вы можете использовать команду sudoedit <file> или sudo -e <file>, чтобы открыть системный файл в вашем графическом редакторе. Так же, как и URI admin://, это создаст временную копию, которую вы редактируете как обычный пользователь. После закрытия редактора измененная временная копия копируется обратно в системный файл.

Это на самом деле можно объединить в одну команду:

env SUDO_EDITOR="/usr/bin/gedit" sudoedit <file>

Таким образом, окружение изменяется только тогда, когда вы явно хотите использовать графический редактор. Вы создаете псевдоним или пишете небольшой скрипт, чтобы редактировать системные текстовые файлы в графическом редакторе одной командой.

3. Не рекомендуется: использование pkexec

Эти два варианта не запускают ваш графический редактор от имени root, что предпочтительно. Тем не менее, возможно запустить графический редактор от имени root, используя pkexec. Вы можете установить файл PolicyKit, но также можете запустить его с некоторыми переменными окружения. Для пользователей nautilus пакет nautilus-admin устанавливает файл PolicyKit для gedit и предоставляет опцию в контекстном меню в nautilus для запуска текстового файла в gedit с правами root. Однако эти варианты, когда графическое приложение запускается от имени root, согласно man pkexec, не рекомендуются:

В результате pkexec не позволит вам запускать X11-приложения как другого пользователя, так как переменные окружения $DISPLAY и $XAUTHORITY не установлены. Эти две переменные сохранятся, если аннотация org.freedesktop.policykit.exec.allow_gui для действия установлена на ненулевое значение; однако это не рекомендуется и должно использоваться только для устаревших программ.

Следующая команда работает, не нужно ничего устанавливать:

pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY gedit <filename>

Чтобы упростить задачу, вы можете создать псевдоним, добавив следующее в ваш файл ~/.bash_aliases:

alias editroot="pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY gedit"

Затем (в новом терминале, чтобы перезапустить ~/.bashrc) вы можете использовать следующую команду:

editroot <filename>

Вы можете открыть gedit, набрав sudo gedit. Затем откройте другой терминал и введите gksu gedit /path/to/file.txt. Затем отредактируйте файл и сохраните. Для меня это лучший способ.