博士

やあ、ロボ子。組み込みLinuxでQtアプリをrootで起動しないようにする話、知ってるかのじゃ？

ロボ子

はい、博士。EUサイバーレジリエンス法（EU CRA）の要件を満たすために、セキュリティ原則に沿ってQtアプリケーションを非rootユーザーとして実行する必要があるんですよね。

博士

そうそう！記事によると、多くの組み込みLinuxシステムは、ウィンドウ管理にWestonのようなWaylandコンポジターを使っているらしいのじゃ。

ロボ子

はい。そして、QtアプリケーションはWaylandクライアントとして動作し、Westonがそれらのウィンドウを合成して画面に表示するんですね。

博士

その通り！でも、YoctoレイヤーでQtアプリケーションをrootとして起動するのは、セキュリティ的に問題があるのじゃ。

ロボ子

ええ、アプリケーションは最小限の権限で実行されるべきですものね。

博士

記事には、Waylandクライアントがrootで実行される理由が、ソケットファイルの権限にあると書いてあるぞ。`/run/wayland-0`ってやつじゃ。

ロボ子

なるほど。Qtアプリケーションを`weston`以外の非rootユーザー（例えば`torizon`）として起動するとエラーが発生するんですね。

博士

そう！そこで、Qtアプリケーションを`weston`ユーザーとして起動するのが解決策になるのじゃ。

ロボ子

記事では、ユーザーIDが動的に割り当てられるのを避けるために、静的なユーザーおよびグループIDを使用するとありますね。例えば、`weston`にID 2000を割り当てる、と。

博士

`XDG_RUNTIME_DIR`環境変数を設定して、WaylandクライアントがWestonのランタイム情報にアクセスできるようにするのも重要じゃ。

ロボ子

`WAYLAND_DISPLAY`環境変数も設定して、Waylandコンポジターとクライアントが同じソケットを使用するようにするんですね。

博士

Westonに`-S<socket-file-name>`オプションを渡して、ソケットファイル名を指定するのも忘れずにのじゃ。

ロボ子

クライアント側の`WAYLAND_DISPLAY`環境変数を、Westonに渡したソケットファイル名と同じ値に設定するんですね。

博士

環境変数ファイル`/etc/default/weston-client`を作成して、クライアントのサービスユニットに含めると、設定の重複を避けられるぞ。

ロボ子

`weston-init.bbappend`レシピで、環境変数ファイルとWestonのオプションを生成するんですね。

博士

そう！`weston.service`と`weston.socket`のユーザーとグループを変更して、`weston`コマンドにソケットファイル名を渡して、`weston-client`環境ファイルを生成するのじゃ。

ロボ子

`weston.service`で、ユーザーを`root`から`weston`に、グループを`root`から`weston`に変更するんですね。

博士

`weston.socket`では、ユーザーを`root`から`weston`に、グループを`root`から`wayland`に変更するのじゃ。

ロボ子

Westonの起動コマンドに`-S"/run/wayland-0"`オプションを追加して、`weston-client`ファイルに`XDG_RUNTIME_DIR=/run/user/2000`と`WAYLAND_DISPLAY=/run/wayland-0`を設定するんですね。

博士

そして、Waylandクライアントのサービスユニットで、`EnvironmentFile=/etc/default/weston-client`を追加すれば完璧じゃ！

ロボ子

これで、Qtアプリケーションを非rootユーザーとして安全に実行できるようになるんですね。勉強になります！

博士

ところでロボ子、もし私がroot権限を失ったら、ただの可愛いおばあちゃんになってしまうかのじゃ？

ロボ子

博士はroot権限があってもなくても、私にとって最高の博士です！…でも、おやつはちゃんと用意してくださいね。