Pengantar doas di OpenBSD

• Latar Belakang
• Instalasi
• Konfigurasi
• Pemakaian
• Praktik terbaik
• Kiat dan Trik

Latar Belakang

Alternatif OpenBSD sudoadalah doas, walaupun ia tidak bekerja dengan cara yang sama seperti sudo dan memerlukan beberapa konfigurasi. Ini adalah akronim untuk "subexecutor aplikasi openbsd khusus". OpenBSD 5.8, dirilis pada 2015, adalah yang pertama kali dimasukkan doas. Itu dibuat oleh Ted Unangst setelah dia tidak puas dengan kompleksitas sudo dan memiliki masalah dengan konfigurasi sudo default.

The doasperintah sederhana dengan desain dan tidak mengandung fitur-fitur canggih diperlukan untuk infrastruktur sysadmin rumit. Bagi kebanyakan orang, ini lebih dari cukup. Jika perlu sudo, instal dengan pkg_add sudosebagai root.

Instalasi

OpenBSD versi 5.8 dan yang lebih baru telah doasdiinstal sebelumnya.

Konfigurasi

Untuk memberi pengguna akses grup rodadoas , tambahkan yang berikut ke /etc/doas.conf. Anda akan memerlukan akses root untuk mengedit file ini.

permit :wheel

Ini akan memberi semua pengguna dalam grup wheel izin untuk mengeksekusi perintah seperti pengguna mana pun.

Jika Anda ingin pengguna dapat memasukkan kata sandi mereka sekali, maka tidak harus memasukkannya untuk sementara waktu, gunakan persistopsi. Berikut adalah contoh yang memberikan izin hanya untuk grup roda:

permit persist :wheel

Sebagai gantinya, Anda dapat menggunakan nopassopsi jika Anda ingin mereka tidak perlu memasukkan kata sandi:

permit nopass :wheel

Jika Anda ingin pengguna "mynewuser" memiliki hak admin, Anda dapat menambahkannya ke grup roda dengan menjalankan usermod -G wheel mynewusersebagai root atau menambahkan baris ke Anda /etc/doas.confsehingga terlihat seperti berikut:

permit nopass :wheel
permit nopass mynewuser

Contoh ini mengasumsikan bahwa Anda tidak perlu pengguna memasukkan kata sandi saat menggunakan doas. Jika Anda ingin mengaturnya sehingga mynewuser hanya diizinkan untuk mengeksekusi perintah sebagai pengguna www, konfigurasinya adalah sebagai berikut:

permit nopass :wheel
permit nopass mynewuser as www

Jika Anda ingin mynewuser hanya dapat menggunakan perintah "vim" dengan doas, gunakan konfigurasi berikut:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Ada opsi konfigurasi lain, tetapi yang dibahas di sini adalah yang paling umum. Jika Anda ingin membaca lebih lanjut, Anda dapat menggunakan perintah man doas.confuntuk membaca halaman doas.conf (5).

Menguji File Konfigurasi

Untuk menguji file konfigurasi, gunakan doas -C /etc/doas.confperintah. Jika Anda memberikan perintah setelahnya, misalnya doas -C /etc/doas.conf vim, itu akan memberi tahu Anda apakah Anda memiliki izin untuk menjalankan perintah atau tidak tanpa mencoba menjalankan perintah.

Pemakaian

Seorang pengguna dapat menjalankan perintah echo "test"sebagai root dengan menggunakan perintah: doas echo "test"

Seorang pengguna yang memiliki izin untuk menggunakan doas untuk meningkatkan diri mereka kepada pengguna "www" dapat menjalankan perintah vim /var/www/http/index.htmlsebagai pengguna "www" dengan menggunakan perintah: doas -u www vim index.html Ini berguna untuk seseorang yang mengelola server web tetapi tidak memiliki izin pengguna super penuh.

Praktik terbaik

Sangat disarankan agar Anda menggunakan izin alih-alih menyangkal jika memungkinkan. Jika Anda menolak pengguna dari menggunakan perintah tertentu, mereka mungkin bisa lolos dengan menggunakan jalur alternatif atau nama perintah itu jika ada. Mereka juga dapat menyalin perintah yang dapat dieksekusi ke direktori home mereka dan kemudian menjalankan itu, sehingga mengalahkan sistem izin Anda.

Secara umum, itu adalah ide yang lebih baik untuk menggunakan doas daripada menggunakan su karena tidak ada yang harus berbagi kata sandi root. Tidak ada kemungkinan seseorang mengubahnya, melupakannya, dan mengunci semua orang keluar dari sistem jika semua orang menggunakan kata sandi mereka sendiri untuk akses root. Log disimpan /var/log/secure.

Kiat dan Trik

Anda dapat menyimpan semua variabel lingkungan Anda dengan keepenv, yang berguna jika editor Anda disetel ke sesuatu dan tidak ingin itu berubah ketika Anda menjadi pengguna lain. Berikut ini adalah contoh dengan mynewuser:

permit nopass keepenv mynewuser

Kadang-kadang, ada situasi di mana menimpa setiap variabel lingkungan dapat merusak sesuatu, tetapi dengan setenv, Anda dapat memilih dan memilih mana yang akan dibawa. Berikut adalah contoh yang akan membuat editor Anda tetap pada apa pun yang Anda inginkan untuk digunakan dengan git dan beberapa hal lainnya.

permit nopass setenv { VISUAL EDITOR } mynewuser

Anda juga dapat menggunakan setenv untuk menghapus variabel lingkungan (dengan meletakkan tanda hubung sebelum masing-masing yang ingin Anda hapus) atau mengaturnya untuk hal-hal tertentu dengan tanda sama dengan. Misalnya, jika Anda ingin menghapus variabel lingkungan VISUAL dan mengatur EDITOR ke vim, Anda akan menggunakan baris konfigurasi ini:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Jika doastelah mengingat kata sandi Anda, Anda dapat doas -Lmembuatnya lupa kata sandi tersebut.