Victor Wagner <vitus@wagner.pp.ru> wrote: > В Wed, 03 Jun 2020 10:29:54 +0300 Dmitry Alexandrov <321942@gmail.com> пишет: >> 1. Включить ‘-listen tcp’ у Икс-сервера. Как — см. в документации экранного диспетчера, который его собственно по-умолчанию и отключает. > > Ага, а потом еще убедиться, что это надежно заткнуто файрволлом и пустят туда только из контейнера, а не изо всей локальной сети. Ну, вообще-то там аутентификация есть, и сломанной она, вроде как не считается. Ну а так — естественно, что файерволл к любому серверу не помешает. И вы, конечно, правы, стоит иногда напоминать о его существовании явно. > Лучше уж как ниже описано смонтировать в контейнер юникс-домен сокеты из /tmp/.X11-unix Смотря в каком случае. В том, с какого мы начали — когда почти вся настольная система засунута в контейнер — да. А в другом — управлять доступом непонятно как: соединения от локальных отличаться перестают совсем. > В принципе, в сочетании с предыдущим советом достаточно просто ~/.Xauthority в контейнер скопировать. Потому что при этом значение DISPLAY внутри и снаружи будет совпадать, и магическое печенье подойдет. Если «предыдущий совет» — это про прокинуть сокет, то, как я и написал ниже, при обычных умолчаниях аутентификация пройдет по UIDʼу и безо всякого токена («магического печенья»). >> Авторизация на Икс-сервере будет по UIDʼу, так что если не совпадают, > > А вот не стоит делать так, чтобы не совпадали. Есть куча разных причин по которым лучше uid-ы синхронизировать Да, конечно. Просто это не всегда подходит по смыслу.
Attachment:
signature.asc
Description: PGP signature