Introducere în doas pe OpenBSD

• fundal
• Instalare
• configurație
• folosire
• Cele mai bune practici
• Sfaturi și trucuri

fundal

Alternativa OpenBSD la sudoeste doas, deși nu funcționează la fel ca sudo și necesită o anumită configurație. Este un acronim pentru „subexecutorul aplicației openbsd dedicat”. OpenBSD 5.8, lansat în 2015, a fost primul care a inclus doas. A fost creat de Ted Unangst după ce a fost nemulțumit de complexitatea sudo și a avut probleme cu configurația implicită sudo.

doasComanda este simplu de design și nu conține caracteristici avansate necesare pentru infrastructuri sysadmin elaborate. Pentru majoritatea oamenilor, este mai mult decât suficient. Dacă aveți nevoie sudo, instalați-l cu pkg_add sudoroot.

Instalare

OpenBSD versiunea 5.8 și mai târziu a fost doaspreinstalat.

configurație

Pentru a oferi acces utilizatorilor din grupul de roțidoas , adăugați următoarele /etc/doas.conf. Pentru a edita acest fișier, veți avea nevoie de acces root.

permit :wheel

Acest lucru va oferi tuturor utilizatorilor din grupul de roți permisiunea de a executa comenzi ca orice utilizator.

Dacă doriți ca utilizatorii să poată introduce parola o dată, atunci nu trebuie să o introduceți o perioadă, utilizați persistopțiunea. Iată un exemplu care dă permisiuni doar grupului de roți:

permit persist :wheel

În schimb, puteți utiliza nopassopțiunea dacă doriți să nu le introduceți niciodată parola:

permit nopass :wheel

Dacă doriți ca utilizatorul „mynewuser” să aibă drepturi de admin, puteți să le adăugați la grupul de roți rulând usermod -G wheel mynewuserca root sau să adăugați o linie la dvs., /etc/doas.confastfel încât să pară oarecum ca:

permit nopass :wheel
permit nopass mynewuser

Acest exemplu presupune că nu aveți nevoie de utilizatorii dvs. pentru a introduce o parolă atunci când utilizați doas. Dacă doriți să o setați astfel încât mynewuser să poată executa comenzi doar ca utilizator www, configurația ar fi următoarea:

permit nopass :wheel
permit nopass mynewuser as www

Dacă doriți ca mynewuser să poată utiliza doar comanda "vim" cu doas, utilizați următoarea configurație:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Există și alte opțiuni de configurare, dar cele acoperite aici sunt cele mai frecvente. Dacă doriți să citiți mai multe, puteți utiliza comanda man doas.confpentru a citi pagina de manieră doas.conf (5).

Testarea fișierelor de configurare

Pentru a testa un fișier de configurare, utilizați doas -C /etc/doas.confcomanda. Dacă furnizați o comandă ulterior, de exemplu doas -C /etc/doas.conf vim, aceasta vă va spune dacă aveți permisiunea de a rula o comandă sau nu fără a încerca să executați comanda.

folosire

Un utilizator poate rula comanda echo "test"ca root folosind comanda: doas echo "test"

Un utilizator care are permisiuni de a utiliza doas pentru a se ridica la utilizatorul „www” poate rula comanda vim /var/www/http/index.htmlca utilizatorul „www” folosind comanda: doas -u www vim index.html Aceasta este utilă pentru cineva care administrează webserver-ul, dar nu are permisiuni complete de utilizator.

Cele mai bune practici

Este foarte recomandat să utilizați permisul în loc să refuzați acolo unde este posibil. Dacă refuzați unui utilizator să folosească o comandă specifică, este posibil să se poată îndepărta folosind o cale alternativă sau un nume al acelei comenzi dacă există. De asemenea, pot copia executabilul comenzii în directorul lor de origine și apoi executa acea executabil, înfrângând astfel sistemul dvs. de permisiuni.

În general, este mai bine să folosiți doas decât să folosiți su, deoarece nimeni nu trebuie să partajeze parola rădăcină. Nu există nicio șansă ca cineva să o schimbe, să o uite și să îi blocheze pe toți în afara sistemului dacă fiecare folosește propria parolă pentru accesul root. Jurnalele sunt păstrate /var/log/secure.

Sfaturi și trucuri

Puteți păstra toate variabilele de mediu cu keepenv, care este util dacă aveți editorul setat pe ceva și nu doriți ca acesta să se schimbe atunci când deveniți un alt utilizator. Iată un exemplu cu mynewuser:

permit nopass keepenv mynewuser

Uneori, există situații în care suprascrierea fiecărei variabile de mediu poate rupe lucrurile, dar cu setenv, puteți alege și alege pe care să le preluați. Iată un exemplu care vă va menține editorul setat la orice doriți pentru utilizare cu git și alte alte lucruri.

permit nopass setenv { VISUAL EDITOR } mynewuser

Puteți utiliza, de asemenea, setenv pentru a elimina variabilele de mediu (punând o liniuță înainte de fiecare pe care doriți să o eliminați) sau să le setați la anumite lucruri cu un semn egal. De exemplu, dacă doriți ca acesta să elimine variabila de mediu VISUAL și să setați EDITOR la ​​vim, utilizați această linie de configurare:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Dacă doasți-ai amintit parola, poți face doas -Lpentru a o face să uite parola.