OpenBSD上的doas简介

• 背景
• 安装
• 组态
• 用法
• 最佳实践
• 技巧和窍门

背景

OpenBSD的替代品sudo是doas，尽管它的工作方式与sudo不同，并且需要一些配置。它是“专用openbsd应用程序子执行程序”的首字母缩写。2015年发布的OpenBSD 5.8是第一个包含的doas。它是由Ted Unangst创建的，他对sudo的复杂性不满意并且对默认sudo配置有疑问。

该doas命令在设计上很简单，并且不包含复杂的sysadmin基础结构所需的高级功能。对于大多数人来说，这已经足够了。如果需要sudo，请以pkg_add sudoroot用户身份安装。

安装

已doas预安装OpenBSD 5.8版和更高版本。

组态

要授予车轮组中的用户访问权限doas，请在中添加以下内容/etc/doas.conf。您将需要root用户访问权限才能编辑此文件。

permit :wheel

这将授予Wheel组中的所有用户以任何用户身份执行命令的权限。

如果您希望用户一次输入密码，而不必暂时输入密码，请使用该persist选项。这是一个仅授予车轮组权限的示例：

permit persist :wheel

nopass如果您不希望他们不必输入密码，则可以改用该选项：

permit nopass :wheel

如果您希望用户“ mynewuser”具有管理员权限，则可以通过usermod -G wheel mynewuser以root用户身份运行将它们添加到wheel组，或者在您的行中添加一行，/etc/doas.conf使其看起来类似于以下内容：

permit nopass :wheel
permit nopass mynewuser

本示例假定您在使用时不需要用户输入密码doas。如果要设置它，以便仅允许mynewuser以www用户身份执行命令，则配置如下：

permit nopass :wheel
permit nopass mynewuser as www

如果希望mynewuser只能在doas中使用“ vim”命令，请使用以下配置：

permit nopass :wheel
permit nopass mynewuser as www cmd vim

还有其他配置选项，但是这里介绍的是最常用的。如果您想了解更多信息，可以使用该命令man doas.conf来阅读doas.conf（5）联机帮助页。

测试配置文件

要测试配置文件，请使用doas -C /etc/doas.conf命令。如果以后提供命令，例如doas -C /etc/doas.conf vim，它将告诉您是否有权运行命令而不尝试执行命令。

用法

用户可以echo "test"使用以下命令以root 用户身份运行命令： doas echo "test"

有权使用doas提升为用户“ www”的用户可以vim /var/www/http/index.html通过使用以下命令以用户“ www”的身份运行该命令： doas -u www vim index.html 这对于管理Web服务器但没有完全超级用户权限的用户很有用。

最佳实践

强烈建议您尽可能使用允许而不是拒绝。如果您拒绝用户使用特定的命令，则他们可能可以使用该命令的备用路径或名称（如果存在）逃脱。他们还可以将命令的可执行文件复制到其主目录，然后运行该可执行文件，从而破坏您的权限系统。

一般来说，使用doas比使用su更好，因为没有人必须共享root密码。如果每个人都使用自己的密码进行root访问，则不可能有人更改，忘记它并将每个人锁定在系统之外。日志保存在中/var/log/secure。

技巧和窍门

您可以使用keepenv保留所有环境变量，如果您将编辑器设置为某项并且不想在成为另一个用户时更改它，这将很有用。这是mynewuser的示例：

permit nopass keepenv mynewuser

有时在某些情况下，覆盖每个环境变量可能会破坏事情，但是使用setenv，您可以选择要继承的变量。这是一个示例，它将使您的编辑器设置为您想要与git等一起使用的任何内容。

permit nopass setenv { VISUAL EDITOR } mynewuser

您还可以使用setenv删除环境变量（通过在每个要删除的变量前加一个破折号）或将它们设置为带有等号的特定内容。例如，如果您希望它删除环境变量VISUAL并将EDITOR设置为vim，则可以使用以下配置行：

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

如果doas已记住您的密码，则可以doas -L使它忘记密码。