{{tag>Firefox Sécurité sudo Audio}}

= Notes Firefox sudo compte dédié

Pourquoi ne pas créer autant de UID que d'applications (comme c'est la cas sous Android)
En tout cas, il est pertinent pour des raisons de séurité d'isoler les applications sensibles ou particulièrement exposées.

Nous avons le choix entre :
* un uid / utilisateur dédié
* un chroot
* une VM

Ici nous avons opté pour la 1ere solution.

-----
https://calum.org/posts/running-firefox-as-another-user-using-sudo


<code bash>
chgrp web1 /run/user/$(id -u)
chmod 750 /run/user/$(id -u)
chgrp web1 -R  /run/user/$(id -u)/pulse
chmod -R 770 /run/user/$(id -u)/pulse
xhost local:web1
sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh
</code>

[[compte-de-test]]

Pour le Dossier Téléchargement voir [[partage_dossier_acl_umask]]

''sudoers''
<code ->
User_Alias  X_USERS = jean
Defaults:X_USERS env_reset
Defaults:X_USERS env_keep += DISPLAY
Defaults:X_USERS env_keep += XAUTHORITY

jean ALL=(web1) NOPASSWD: /bin/bash /home/web1/bin/ff.sh
</code>

''/home/web1/bin/ff.sh''
<code bash>
#! /bin/bash

umask 007

/usr/bin/iceweasel 

</code>

''iceweasel.desktop''
<code ini>
#!/usr/bin/env xdg-open

[Desktop Entry]
Encoding=UTF-8
Name=Iceweasel1
Comment=PlayOnLinux
Type=Application
#Exec=bash -c "chgrp web1 /run/user/1001 ; chmod 750 /run/user/1001; chgrp web1 -R  /run/user/1001/pulse ; chmod -R 770 /run/user/1001/pulse ; xhost local:web1 ; sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh"
Exec=bash -c "xhost local:web1 ; sudo -H -u web1 /bin/bash /home/web1/bin/ff.sh"
Icon=/usr/share/icons/hicolor/48x48/apps/iceweasel.png
Name[fr_FR]=Iceweasel1
Categories=

Terminal=false
Icon[fr_FR]=/usr/share/icons/hicolor/48x48/apps/iceweasel.png
Comment[fr_FR]=PlayOnLinux
</code>

== Activation du son (PulseAudio)

http://billauer.co.il/blog/2014/01/pa-multiple-users/

Dans la session de l'utilisateur standard
<code bash>
cp /etc/pulse/default.pa ~/.pulse/
echo "load-module module-native-protocol-unix auth-anonymous=1 socket=/tmp/my-pulse-socket-name" >> ~/.pulse/default.pa
</code>

Dans la session dédiée (**Web1** dans notre exemple)

''~/.config/pulse/client.conf''
<code ini>
default-server = unix:/tmp/my-pulse-socket-name
</code>


== Partage du dossier Téléchargements entre les deux utilisateurs

''/etc/fstab''
<code ->
/home/jean/Téléchargements	/home/web1/Téléchargements none bind,nodev,nosuid,noexec,acl 0 0
</code>


Ajout de jean au groupe web1
<code bash>
adduser jean web1
</code>

Téléchargements de web1 pointera vers le dossier Téléchargements de jean
<code bash>
mount /home/web1/Téléchargements
</code>

web1 est le groupe propriétaire des fichiers (groupe dont fait partie jean et web1)
<code bash>
chgrp -R web1 /home/web1/Téléchargements
</code>

Droits en rwX pour le groupe web1
<code bash>
chmod -R g+rwX /home/web1/Téléchargements
</code>

Les nouveaux fichiers crée dans Téléchargements aurons pour groupe web1 
<code bash>
chmod g+s /home/web1/Téléchargements
</code>

Les nouveaux fichiers créés dans Téléchargements serons en rwX (pour le groupe web1)
<code bash>
setfacl -R -d -m g::rwX /home/web1/Téléchargements
</code>