Home » » Pengantar doas di OpenBSD

Pengantar doas di OpenBSD

Latar Belakang

Alternatif OpenBSD sudoadalah doas, walaupun ia tidak bekerja dengan cara yang sama seperti sudo dan memerlukan beberapa konfigurasi. Ini adalah akronim untuk "subexecutor aplikasi openbsd khusus". OpenBSD 5.8, dirilis pada 2015, adalah yang pertama kali dimasukkan doas. Itu dibuat oleh Ted Unangst setelah dia tidak puas dengan kompleksitas sudo dan memiliki masalah dengan konfigurasi sudo default.

The doasperintah sederhana dengan desain dan tidak mengandung fitur-fitur canggih diperlukan untuk infrastruktur sysadmin rumit. Bagi kebanyakan orang, ini lebih dari cukup. Jika perlu sudo, instal dengan pkg_add sudosebagai root.

Instalasi

OpenBSD versi 5.8 dan yang lebih baru telah doasdiinstal sebelumnya.

Konfigurasi

Untuk memberi pengguna akses grup rodadoas , tambahkan yang berikut ke /etc/doas.conf. Anda akan memerlukan akses root untuk mengedit file ini.

permit :wheel

Ini akan memberi semua pengguna dalam grup wheel izin untuk mengeksekusi perintah seperti pengguna mana pun.

Jika Anda ingin pengguna dapat memasukkan kata sandi mereka sekali, maka tidak harus memasukkannya untuk sementara waktu, gunakan persistopsi. Berikut adalah contoh yang memberikan izin hanya untuk grup roda:

permit persist :wheel

Sebagai gantinya, Anda dapat menggunakan nopassopsi jika Anda ingin mereka tidak perlu memasukkan kata sandi:

permit nopass :wheel

Jika Anda ingin pengguna "mynewuser" memiliki hak admin, Anda dapat menambahkannya ke grup roda dengan menjalankan usermod -G wheel mynewusersebagai root atau menambahkan baris ke Anda /etc/doas.confsehingga terlihat seperti berikut:

permit nopass :wheel
permit nopass mynewuser

Contoh ini mengasumsikan bahwa Anda tidak perlu pengguna memasukkan kata sandi saat menggunakan doas. Jika Anda ingin mengaturnya sehingga mynewuser hanya diizinkan untuk mengeksekusi perintah sebagai pengguna www, konfigurasinya adalah sebagai berikut:

permit nopass :wheel
permit nopass mynewuser as www

Jika Anda ingin mynewuser hanya dapat menggunakan perintah "vim" dengan doas, gunakan konfigurasi berikut:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Ada opsi konfigurasi lain, tetapi yang dibahas di sini adalah yang paling umum. Jika Anda ingin membaca lebih lanjut, Anda dapat menggunakan perintah man doas.confuntuk membaca halaman doas.conf (5).

Menguji File Konfigurasi

Untuk menguji file konfigurasi, gunakan doas -C /etc/doas.confperintah. Jika Anda memberikan perintah setelahnya, misalnya doas -C /etc/doas.conf vim, itu akan memberi tahu Anda apakah Anda memiliki izin untuk menjalankan perintah atau tidak tanpa mencoba menjalankan perintah.

Pemakaian

Seorang pengguna dapat menjalankan perintah echo "test"sebagai root dengan menggunakan perintah: doas echo "test"

Seorang pengguna yang memiliki izin untuk menggunakan doas untuk meningkatkan diri mereka kepada pengguna "www" dapat menjalankan perintah vim /var/www/http/index.htmlsebagai pengguna "www" dengan menggunakan perintah: doas -u www vim index.html Ini berguna untuk seseorang yang mengelola server web tetapi tidak memiliki izin pengguna super penuh.

Praktik terbaik

Sangat disarankan agar Anda menggunakan izin alih-alih menyangkal jika memungkinkan. Jika Anda menolak pengguna dari menggunakan perintah tertentu, mereka mungkin bisa lolos dengan menggunakan jalur alternatif atau nama perintah itu jika ada. Mereka juga dapat menyalin perintah yang dapat dieksekusi ke direktori home mereka dan kemudian menjalankan itu, sehingga mengalahkan sistem izin Anda.

Secara umum, itu adalah ide yang lebih baik untuk menggunakan doas daripada menggunakan su karena tidak ada yang harus berbagi kata sandi root. Tidak ada kemungkinan seseorang mengubahnya, melupakannya, dan mengunci semua orang keluar dari sistem jika semua orang menggunakan kata sandi mereka sendiri untuk akses root. Log disimpan /var/log/secure.

Kiat dan Trik

Anda dapat menyimpan semua variabel lingkungan Anda dengan keepenv, yang berguna jika editor Anda disetel ke sesuatu dan tidak ingin itu berubah ketika Anda menjadi pengguna lain. Berikut ini adalah contoh dengan mynewuser:

permit nopass keepenv mynewuser

Kadang-kadang, ada situasi di mana menimpa setiap variabel lingkungan dapat merusak sesuatu, tetapi dengan setenv, Anda dapat memilih dan memilih mana yang akan dibawa. Berikut adalah contoh yang akan membuat editor Anda tetap pada apa pun yang Anda inginkan untuk digunakan dengan git dan beberapa hal lainnya.

permit nopass setenv { VISUAL EDITOR } mynewuser

Anda juga dapat menggunakan setenv untuk menghapus variabel lingkungan (dengan meletakkan tanda hubung sebelum masing-masing yang ingin Anda hapus) atau mengaturnya untuk hal-hal tertentu dengan tanda sama dengan. Misalnya, jika Anda ingin menghapus variabel lingkungan VISUAL dan mengatur EDITOR ke vim, Anda akan menggunakan baris konfigurasi ini:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Jika doastelah mengingat kata sandi Anda, Anda dapat doas -Lmembuatnya lupa kata sandi tersebut.


Tags: #BSD #Linux Guides #Security #System Admin

Leave a Comment

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

6 Hal yang Sangat Menggila dari Nintendo Switch

6 Hal yang Sangat Menggila dari Nintendo Switch

Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.

Janji Teknologi Yang Masih Belum Ditepati

Janji Teknologi Yang Masih Belum Ditepati

Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Baru-baru ini Apple merilis macOS Catalina 10.15.4 pembaruan suplemen untuk memperbaiki masalah tetapi tampaknya pembaruan menyebabkan lebih banyak masalah yang mengarah ke bricking mesin mac. Baca artikel ini untuk mempelajari lebih lanjut