OpenBSDde doasa giriş

• Arka fon
• Kurulum
• Yapılandırma
• kullanım
• En İyi Uygulamalar
• Ipuçları ve Püf noktaları

Arka fon

İçin OpenBSD alternatif sudoolduğu doaso sudo aynı şekilde çalışır ve bazı yapılandırma gerektirir olmamakla birlikte,. "Özel openbsd uygulama alt yürütücüsü" için kullanılan bir kısaltmadır. 2015 yılında piyasaya sürülen OpenBSD 5.8 dahil edildi doas. Ted Unangst tarafından sudo'nun karmaşıklığından memnun kalmadan ve varsayılan sudo yapılandırmasıyla ilgili sorunları olduğunda yaratıldı.

doasKomut tasarımı ile basit ve karmaşık sistem yöneticisi altyapıları için gerekli gelişmiş özellikler içermez. Çoğu insan için bu fazlasıyla yeterli. Gerekirse sudo, pkg_add sudoroot olarak yükleyin .

Kurulum

OpenBSD sürüm 5.8 ve üzeri doasönceden kurulmuştur.

Yapılandırma

Tekerlek grubundaki kullanıcılara erişim izni vermek doasiçin aşağıdakileri ekleyin /etc/doas.conf. Bu dosyayı düzenlemek için root erişimine ihtiyacınız olacak.

permit :wheel

Bu, tekerlek grubundaki tüm kullanıcılara komutları herhangi bir kullanıcı gibi çalıştırma izni verecektir.

Kullanıcıların şifrelerini bir kez girmelerini istiyorsanız, bir süre girmek zorunda kalmamanız durumunda, persistseçeneği kullanın. Aşağıda yalnızca tekerlek grubuna izin veren bir örnek verilmiştir:

permit persist :wheel

Bunun yerine, nopassasla şifrelerini girmelerini istemiyorsanız seçeneği kullanabilirsiniz :

permit nopass :wheel

"Mynewuser" kullanıcısının yönetici haklarına sahip olmasını istiyorsanız, usermod -G wheel mynewuserkök olarak çalışarak bunları tekerlek grubuna ekleyebilir veya /etc/doas.confaşağıdakine benzer şekilde bir satır ekleyebilirsiniz.

permit nopass :wheel
permit nopass mynewuser

Bu örnekte, kullanıcılarınızı kullanırken şifre girmeniz gerekmediği varsayılmaktadır doas. Bunu mynewuser komutunun yalnızca www kullanıcısı olarak yürütmesine izin verecek şekilde ayarlamak isterseniz, yapılandırma aşağıdaki gibi olur:

permit nopass :wheel
permit nopass mynewuser as www

Mynewuser'ın yalnızca "vim" komutunu doas ile kullanabilmesini istiyorsanız, aşağıdaki yapılandırmayı kullanın:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Başka yapılandırma seçenekleri de vardır, ancak burada kapsananlar en yaygın olanlarıdır. Daha fazlasını okumak isterseniz man doas.conf, doas.conf (5) man sayfasını okumak için komutu kullanabilirsiniz .

Yapılandırma Dosyalarını Test Etme

Bir yapılandırma dosyasını test etmek için doas -C /etc/doas.confkomutu kullanın. Daha sonra bir komut verirseniz, örneğin doas -C /etc/doas.conf vim, komutu yürütmeye çalışmadan bir komut çalıştırma izniniz olup olmadığını size bildirir.

kullanım

Bir kullanıcı komutu echo "test"kullanarak komutu root olarak çalıştırabilir : doas echo "test"

Kendilerini "www" kullanıcısına yükseltmek için doas kullanma izinlerine sahip bir kullanıcı, komutu vim /var/www/http/index.htmlkullanarak komutu "www" kullanıcısı olarak çalıştırabilir : doas -u www vim index.html Bu, web sunucusunu yöneten, ancak tam kullanıcı kullanıcı izinlerine sahip olmayan biri için kullanışlıdır.

En İyi Uygulamalar

Mümkün olduğu durumlarda reddetmek yerine izin kullanmanız önemle tavsiye edilir. Bir kullanıcının belirli bir komutu kullanmasını reddederseniz, varsa o komutun alternatif bir yolunu veya adını kullanarak kurtulabilir. Ayrıca komutun yürütülebilir dosyasını ana dizinlerine kopyalayabilir ve daha sonra bu yürütülebilir dosyayı çalıştırabilir ve böylece izin sisteminizi yenebilirler.

Genel olarak konuşursak, doas kullanmak su kullanmaktan daha iyidir, çünkü hiç kimse root şifresini paylaşmak zorunda değildir. Herkesin root erişimi için kendi parolasını kullanması durumunda, birisinin değiştirmesi, unutması ve herkesin sistemden kilitlenmesi ihtimali yoktur. Günlükler tutulur /var/log/secure.

Ipuçları ve Püf noktaları

Tüm ortam değişkenlerinizi keepenv ile koruyabilirsiniz, bu da editörünüz bir şeye ayarlanmışsa ve başka bir kullanıcı olduğunuzda değişmesini istemiyorsanız yararlıdır. İşte mynewuser ile bir örnek:

permit nopass keepenv mynewuser

Bazen, her ortam değişkeninin üzerine yazmanın bazı şeyleri kırabileceği durumlar vardır, ancak setenv ile hangilerinin taşınacağını seçebilir ve seçebilirsiniz. İşte editörünüzü git ve diğer bazı şeylerle kullanmak istediğiniz her şeye ayarlayacak bir örnek.

permit nopass setenv { VISUAL EDITOR } mynewuser

Ayrıca ortam değişkenlerini kaldırmak için (kaldırmak istediğiniz her birinden önce bir tire işareti koyarak) setenv komutunu kullanabilir veya eşittir işaretli belirli şeylere ayarlayabilirsiniz. Örneğin, VISUAL ortam değişkenini kaldırmasını ve EDITOR'u vim olarak ayarlamasını isterseniz, bu yapılandırma satırını kullanırsınız:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Eğer doasşifrenizi hatırladı etti, yapabileceğiniz doas -Lbu şifreyi unutturmak için.