OpenBSD पर doas का परिचय

• पृष्ठभूमि
• स्थापना
• विन्यास
• प्रयोग
• सर्वोत्तम प्रथाएं
• सुझाव और तरकीब

पृष्ठभूमि

OpenBSD का विकल्प sudoहै doas, हालांकि यह सुडो के समान काम नहीं करता है और कुछ कॉन्फ़िगरेशन की आवश्यकता होती है। यह "डेडिकेटेड ओपनबल्ड एप्लिकेशन सबएक्जेसटर" के लिए एक परिचित है। 2015 में जारी OpenBSD 5.8, पहली बार शामिल किया गया था doas। सूद की जटिलता से असंतुष्ट होने और डिफ़ॉल्ट सूडो कॉन्फ़िगरेशन के साथ समस्या होने के बाद इसे टेड अनंगस्ट ने बनाया था।

doasआदेश डिजाइन द्वारा सरल है और विस्तृत सिस्टम प्रशासक आधारभूत संरचनाओं के लिए आवश्यक उन्नत सुविधाओं शामिल नहीं है। ज्यादातर लोगों के लिए, यह पर्याप्त से अधिक है। यदि आपको आवश्यकता है sudo, तो इसे pkg_add sudoरूट के रूप में स्थापित करें ।

स्थापना

OpenBSD संस्करण 5.8 और बाद में doasपूर्वस्थापित किया गया है ।

विन्यास

व्हील ग्रुप एक्सेस में उपयोगकर्ताओं को देने के लिए doas, निम्न को जोड़ें /etc/doas.conf। इस फ़ाइल को संपादित करने के लिए आपको रूट एक्सेस की आवश्यकता होगी।

permit :wheel

यह व्हील समूह के सभी उपयोगकर्ताओं को किसी भी उपयोगकर्ता के रूप में कमांड निष्पादित करने की अनुमति देगा।

यदि आप चाहते हैं कि उपयोगकर्ता एक बार अपना पासवर्ड दर्ज करने में सक्षम हों, तो इसे कुछ समय के लिए दर्ज न करें, persistविकल्प का उपयोग करें । यहाँ एक उदाहरण है जो केवल पहिया समूह को अनुमति देता है:

permit persist :wheel

आप इसके बजाय nopassविकल्प का उपयोग कर सकते हैं यदि आप चाहते हैं कि उन्हें अपना पासवर्ड दर्ज न करना पड़े:

permit nopass :wheel

यदि आप उपयोगकर्ता "mynewuser" को व्यवस्थापक अधिकार चाहते हैं, तो आप उन्हें usermod -G wheel mynewuserरूट के रूप में चलाकर पहिया समूह में जोड़ सकते हैं या अपनी पंक्ति में जोड़ सकते हैं, /etc/doas.confइसलिए यह कुछ हद तक निम्न जैसा दिखता है:

permit nopass :wheel
permit nopass mynewuser

यह उदाहरण मानता है कि उपयोग करते समय आपको अपने उपयोगकर्ताओं को पासवर्ड दर्ज करने की आवश्यकता नहीं है doas। यदि आप इसे सेट करना चाहते हैं ताकि mynewuser को केवल www उपयोगकर्ता के रूप में कमांड निष्पादित करने की अनुमति मिले, तो कॉन्फ़िगरेशन निम्नानुसार होगा:

permit nopass :wheel
permit nopass mynewuser as www

यदि आप mynewuser को doas के साथ केवल "vim" कमांड का उपयोग करने में सक्षम होना चाहते हैं, तो निम्न कॉन्फ़िगरेशन का उपयोग करें:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

अन्य कॉन्फ़िगरेशन विकल्प हैं, लेकिन यहां कवर किए गए सबसे आम हैं। यदि आप अधिक पढ़ना चाहते हैं, तो आप man doas.confdoas.conf (5) मैनपेज को पढ़ने के लिए कमांड का उपयोग कर सकते हैं ।

विन्यास फाइल का परीक्षण

कॉन्फ़िगरेशन फ़ाइल का परीक्षण करने के लिए, doas -C /etc/doas.confकमांड का उपयोग करें । यदि आप बाद में एक कमांड की आपूर्ति करते हैं, उदाहरण के लिए doas -C /etc/doas.conf vim, यह आपको बताएगा कि आपके पास कमांड को चलाने की कोशिश किए बिना कमांड चलाने की अनुमति है या नहीं।

प्रयोग

एक उपयोगकर्ता कमांड echo "test"का उपयोग करके कमांड को रूट के रूप में चला सकता है : doas echo "test"

एक उपयोगकर्ता जिसके पास doas का उपयोग करने के लिए उपयोगकर्ता "www" के लिए खुद को उन्नत करने की अनुमति है, कमांड vim /var/www/http/index.htmlका उपयोग करके उपयोगकर्ता "www" के रूप में कमांड चला सकता है : doas -u www vim index.html यह किसी ऐसे व्यक्ति के लिए उपयोगी है जो वेबसर्वर का प्रबंधन करता है लेकिन उसके पास पूर्ण सुपरयुसर अनुमतियाँ नहीं हैं।

सर्वोत्तम प्रथाएं

यह अत्यधिक अनुशंसा की जाती है कि आप जहां संभव हो इनकार के बजाय परमिट का उपयोग करें। यदि आप किसी उपयोगकर्ता को किसी विशिष्ट कमांड का उपयोग करने से मना करते हैं, तो वे मौजूद होने पर वैकल्पिक पथ या उस आदेश के नाम का उपयोग करने में सक्षम हो सकते हैं। वे कमांड के निष्पादन योग्य को अपने होम निर्देशिका में कॉपी कर सकते हैं और फिर उस निष्पादन योग्य को चला सकते हैं, जिससे आपकी अनुमति प्रणाली को हराया जा सकता है।

सामान्यतया, सु का उपयोग करने के बजाय doas का उपयोग करना एक बेहतर विचार है क्योंकि किसी को रूट पासवर्ड साझा नहीं करना है। अगर इसे हर कोई रूट एक्सेस के लिए अपने पासवर्ड का उपयोग करता है, तो किसी को इसे बदलने, इसे भूल जाने और सभी को सिस्टम से बाहर करने का कोई मौका नहीं है। लॉग में रखे जाते हैं /var/log/secure।

सुझाव और तरकीब

आप अपने सभी पर्यावरण चर को कीपेनव के साथ रख सकते हैं, जो तब उपयोगी होता है जब आपके पास अपना संपादक कुछ करने के लिए सेट होता है और जब आप दूसरे उपयोगकर्ता बन जाते हैं तो इसे बदलना नहीं चाहते हैं। यहाँ mynewuser के साथ एक उदाहरण दिया गया है:

permit nopass keepenv mynewuser

कभी-कभी, ऐसी परिस्थितियां होती हैं, जहां हर पर्यावरण चर को ओवरराइट कर सकते हैं, लेकिन सेटेनव के साथ, आप चुन सकते हैं और चुन सकते हैं कि किन लोगों को ले जाना है। यहां एक उदाहरण दिया गया है जो आपके संपादक को जो कुछ भी आप चाहते हैं, उसे git और कुछ अन्य चीजों के साथ उपयोग करने के लिए सेट करेंगे।

permit nopass setenv { VISUAL EDITOR } mynewuser

आप पर्यावरण चर को हटाने के लिए सेटेनव का उपयोग भी कर सकते हैं (हर एक को हटाने से पहले जिसे आप हटाना चाहते हैं) या उन्हें एक समान चिह्न के साथ विशिष्ट चीजों पर सेट करें। उदाहरण के लिए, यदि आप यह चाहते थे कि पर्यावरण चर दृश्य को हटा दें और EDITOR को विम पर सेट करें, तो आप इस कॉन्फ़िगरेशन लाइन का उपयोग करेंगे:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

यदि doasआपको अपना पासवर्ड याद है, तो आप doas -Lइसे पासवर्ड भूल जाने के लिए कर सकते हैं।