Pengenalan kepada doas di OpenBSD

• Latar Belakang
• Pemasangan
• Konfigurasi
• Penggunaan
• Amalan terbaik
• Petua dan cara

Latar Belakang

Alternatif OpenBSD sudoadalah doas, walaupun tidak berfungsi dengan cara yang sama seperti sudo dan memerlukan beberapa konfigurasi. Ini adalah akronim untuk "subexecutor aplikasi openbsd khusus". OpenBSD 5.8, yang dikeluarkan pada tahun 2015, adalah yang pertama termasuk doas. Ia dicipta oleh Ted Firstst selepas dia tidak puas dengan kerumitan sudo dan mempunyai masalah dengan konfigurasi sudo lalai.

The doasarahan adalah mudah dengan reka bentuk dan tidak mengandungi ciri-ciri canggih yang diperlukan untuk infrastruktur sysadmin rumit. Bagi kebanyakan orang, ia lebih daripada cukup. Sekiranya anda perlukan sudo, pasangkannya pkg_add sudosebagai root.

Pemasangan

Versi OpenBSD 5.8 dan yang lebih baru telah doasdiprapasang.

Konfigurasi

Untuk memberi pengguna akses kumpulan roda ke doas, tambahkan yang berikut kepada /etc/doas.conf. Anda memerlukan akses root untuk mengedit fail ini.

permit :wheel

Ini akan memberi semua pengguna kumpulan roda izin untuk melaksanakan perintah seperti pengguna mana pun.

Jika anda ingin pengguna dapat memasukkan kata laluan mereka sekali, maka tidak perlu memasukkannya untuk sementara waktu, gunakan persistpilihan tersebut. Berikut adalah contoh yang memberikan keizinan hanya kepada kumpulan roda:

permit persist :wheel

Sebaliknya anda boleh menggunakan nopasspilihan jika anda ingin mereka tidak perlu memasukkan kata laluan mereka:

permit nopass :wheel

Sekiranya anda ingin pengguna "mynewuser" mempunyai hak pentadbir, anda boleh menambahkannya ke kumpulan roda dengan menjalankan usermod -G wheel mynewusersebagai root atau menambahkan garis pada anda /etc/doas.confsehingga kelihatan seperti berikut:

permit nopass :wheel
permit nopass mynewuser

Contoh ini menganggap bahawa anda tidak memerlukan pengguna anda memasukkan kata laluan semasa menggunakan doas. Jika anda ingin menetapkannya supaya mynewuser hanya dibenarkan untuk melaksanakan perintah sebagai pengguna www, konfigurasi akan seperti berikut:

permit nopass :wheel
permit nopass mynewuser as www

Sekiranya anda ingin mynewuser hanya dapat menggunakan perintah "vim" dengan doas, gunakan konfigurasi berikut:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Terdapat pilihan konfigurasi lain, tetapi yang dilindungi di sini adalah yang paling biasa. Sekiranya anda ingin membaca lebih lanjut, anda boleh menggunakan arahan man doas.confuntuk membaca manuskrip doas.conf (5).

Menguji Fail Konfigurasi

Untuk menguji fail konfigurasi, gunakan doas -C /etc/doas.confperintah. Sekiranya anda membekalkan arahan selepas itu, misalnya doas -C /etc/doas.conf vim, ia akan memberitahu anda sama ada anda mempunyai kebenaran untuk menjalankan perintah atau tidak tanpa cuba melaksanakan perintah tersebut.

Penggunaan

Pengguna boleh menjalankan arahan echo "test"sebagai root dengan menggunakan perintah: doas echo "test"

Pengguna yang mempunyai keizinan untuk menggunakan doa untuk meningkatkan diri kepada pengguna "www" boleh menjalankan arahan vim /var/www/http/index.htmlsebagai pengguna "www" dengan menggunakan arahan: doas -u www vim index.html Ini berguna untuk seseorang yang mengurus pelayan web tetapi tidak mempunyai keizinan superuser sepenuhnya.

Amalan terbaik

Adalah sangat disyorkan bahawa anda menggunakan permit dan bukannya menafikan jika mungkin. Sekiranya anda menafikan pengguna daripada menggunakan arahan tertentu, mereka mungkin boleh lari dengan menggunakan laluan alternatif atau nama arahan itu jika wujud. Mereka juga boleh menyalin arahan yang boleh dieksekusi ke direktori rumah mereka dan kemudian menjalankan yang boleh dilaksanakan, dengan itu mengalahkan sistem kebenaran anda.

Secara umumnya, ia adalah idea yang lebih baik untuk menggunakan doas daripada menggunakan su kerana tiada siapa yang perlu berkongsi kata laluan root. Tidak ada peluang seseorang mengubahnya, melupakannya, dan mengunci semua orang keluar dari sistem jika semua orang menggunakan kata laluan mereka sendiri untuk akses root. Log disimpan /var/log/secure.

Petua dan cara

Anda boleh menyimpan semua pembolehubah persekitaran anda dengan keepenv, yang berguna jika anda mempunyai set editor anda sesuatu dan tidak mahu ia berubah ketika anda menjadi pengguna lain. Berikut adalah contoh dengan mynewuser:

permit nopass keepenv mynewuser

Kadang-kala, terdapat situasi di mana menimpa setiap pembolehubah persekitaran boleh memecahkan sesuatu, tetapi dengan setenv, anda boleh memilih dan memilih mana yang akan dibawa. Berikut adalah contoh yang akan mengekalkan editor anda untuk apa sahaja yang anda mahu gunakan dengan git dan beberapa perkara lain.

permit nopass setenv { VISUAL EDITOR } mynewuser

Anda juga boleh menggunakan setenv untuk mengalih keluar pembolehubah persekitaran (dengan meletakkan sengkang sebelum setiap satu yang anda ingin keluarkan) atau tetapkannya kepada perkara tertentu dengan tanda sama. Sebagai contoh, jika anda mahu untuk membuang VISUAL pembolehubah persekitaran dan tetapkan EDITOR kepada vim, anda akan menggunakan baris konfigurasi ini:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Jika doastelah mengingati kata laluan anda, anda boleh lakukan doas -Luntuk menjadikannya terlupa kata laluan.