Введение в doas на OpenBSD

• Фон
• Установка
• конфигурация
• использование
• Лучшие практики
• Советы и приемы

Фон

OpenBSD альтернатива sudois doas, хотя она не работает так же, как sudo, и требует некоторой настройки. Это аббревиатура от «выделенного суббека для приложения openbsd». OpenBSD 5.8, выпущенный в 2015 году, был первым, чтобы включить doas. Он был создан Тедом Унангстом после того, как он был недоволен сложностью sudo и имел проблемы с конфигурацией sudo по умолчанию.

Команда doasпроста по конструкции и не содержит расширенных функций, необходимых для сложных инфраструктур системного администратора. Для большинства людей этого более чем достаточно. Если вам нужно sudo, установите его pkg_add sudoкак root.

Установка

Версия 5.8 OpenBSD и более поздняя уже doasустановлена.

конфигурация

Чтобы предоставить пользователям в группе колес доступ к doas, добавьте следующее к /etc/doas.conf. Вам понадобится root-доступ для редактирования этого файла.

permit :wheel

Это даст всем пользователям в группе колес разрешение на выполнение команд от имени любого пользователя.

Если вы хотите, чтобы пользователи могли вводить свой пароль один раз, то не нужно вводить его некоторое время, используйте эту persistопцию. Вот пример, который дает разрешения только группе колес:

permit persist :wheel

Вместо этого вы можете использовать эту nopassопцию, если хотите, чтобы они никогда не вводили свой пароль:

permit nopass :wheel

Если вы хотите, чтобы у пользователя «mynewuser» были права администратора, вы можете либо добавить их в группу wheel, запустив usermod -G wheel mynewuserот имени пользователя root, либо добавить строку в свою строку, /etc/doas.confчтобы это выглядело примерно так:

permit nopass :wheel
permit nopass mynewuser

В этом примере предполагается, что пользователям не нужно вводить пароль при использовании doas. Если вы хотите установить его так, чтобы mynewuser разрешал выполнять команды только от имени пользователя www, конфигурация будет следующей:

permit nopass :wheel
permit nopass mynewuser as www

Если вы хотите, чтобы mynewuser мог использовать только команду "vim" с doas, используйте следующую конфигурацию:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Существуют и другие варианты конфигурации, но описанные здесь являются наиболее распространенными. Если вы хотите прочитать больше, вы можете использовать команду man doas.confдля чтения справочной страницы doas.conf (5).

Тестирование конфигурационных файлов

Чтобы проверить файл конфигурации, используйте doas -C /etc/doas.confкоманду. Если вы введете команду позже, например doas -C /etc/doas.conf vim, она скажет вам, есть ли у вас разрешение на выполнение команды или нет, не пытаясь выполнить команду.

использование

Пользователь может запустить команду echo "test"как пользователь root с помощью команды: doas echo "test"

Пользователь, у которого есть разрешения на использование doas для повышения уровня пользователя до «www», может запустить команду vim /var/www/http/index.htmlкак пользователь «www» с помощью команды: doas -u www vim index.html Это полезно для тех, кто управляет веб-сервером, но не имеет полных прав суперпользователя.

Лучшие практики

Настоятельно рекомендуется использовать разрешение вместо отказа, где это возможно. Если вы запретите пользователю использовать определенную команду, он может избежать использования альтернативного пути или имени этой команды, если она существует. Они также могут скопировать исполняемый файл команды в свой домашний каталог и затем запустить этот исполняемый файл, тем самым нарушив вашу систему разрешений.

Вообще говоря, лучше использовать doas, чем su, потому что никто не должен сообщать пароль root. Нет никаких шансов, что кто-то изменит его, забудет об этом и заблокирует всех вне системы, если каждый использует свой собственный пароль для доступа с правами root. Логи хранятся в /var/log/secure.

Советы и приемы

Вы можете сохранить все свои переменные окружения с помощью keepenv, что полезно, если у вас есть какой-то редактор, и вы не хотите, чтобы он изменился, когда вы станете другим пользователем. Вот пример с mynewuser:

permit nopass keepenv mynewuser

Иногда бывают ситуации, когда перезапись каждой переменной среды может привести к поломке, но с помощью setenv вы можете выбрать, какие из них перенести. Вот пример, в котором ваш редактор будет установлен на то, что вы хотите использовать с git и некоторыми другими вещами.

permit nopass setenv { VISUAL EDITOR } mynewuser

Вы также можете использовать setenv, чтобы удалить переменные окружения (поставив тире перед каждой из них, которую вы хотите удалить) или присвоив им конкретные значения со знаком равенства. Например, если вы хотите удалить переменную окружения VISUAL и задать для EDITOR значение vim, вы должны использовать следующую строку конфигурации:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Если doasвы запомнили ваш пароль, вы можете сделать так, doas -Lчтобы он забыл пароль.