Алтернативата на OpenBSD на sudoе doas, въпреки че не работи по същия начин като sudo и изисква известна конфигурация. Това е съкращение за "специализиран подизпълнител на openbsd приложение". OpenBSD 5.8, издаден през 2015 г., беше първият, който включи doas. Създаден е от Тед Унангст, след като той не беше доволен от сложността на sudo и имаше проблеми с конфигурацията на sudo по подразбиране.
В doasзаповедта е проста, като дизайн и не съдържа допълнителни функции, необходими за сложни Sysadmin инфраструктури. За повечето хора това е повече от достатъчно. Ако имате нужда sudo, инсталирайте го с pkg_add sudoroot.
OpenBSD версия 5.8 и по-нова е doasпредварително инсталирана.
За да дадете на потребителите в групата колела достъп до doas, добавете следното към /etc/doas.conf. Ще ви е необходим root достъп, за да редактирате този файл.
permit :wheel
Това ще даде на всички потребители в групата на колелата разрешение да изпълняват команди като всеки потребител.
Ако искате потребителите да могат да въвеждат паролата си веднъж, след което да не се налага да я въвеждат известно време, използвайте persistопцията. Ето пример, който дава разрешения само на групата колела:
permit persist :wheel
Вместо това можете да използвате nopassопцията, ако искате никога да не им се налага да въвеждат паролата си:
permit nopass :wheel
Ако искате потребителят "mynewuser" да има администраторски права, можете или да ги добавите към групата на колелата, като стартирате usermod -G wheel mynewuserкато root, или да добавите ред към вашия, /etc/doas.confтака че да изглежда донякъде по следния начин:
permit nopass :wheel
permit nopass mynewuser
Този пример предполага, че не се нуждаете от вашите потребители да въвеждат парола, когато използвате doas. Ако искате да го настроите така, че mynewuser да има право да изпълнява команди само като www потребител, конфигурацията ще бъде както следва:
permit nopass :wheel
permit nopass mynewuser as www
Ако искате mynewuser да може да използва само командата "vim" с doas, използвайте следната конфигурация:
permit nopass :wheel
permit nopass mynewuser as www cmd vim
Има и други опции за конфигурация, но разгледаните тук са най-често срещаните. Ако искате да прочетете повече, можете да използвате командата, за man doas.confда прочетете man страницата doas.conf(5).
За да тествате конфигурационен файл, използвайте doas -C /etc/doas.confкомандата. Ако предоставите команда след това, напр. doas -C /etc/doas.conf vim, тя ще ви каже дали имате разрешение да изпълнявате команда или не, без да се опитвате да изпълните командата.
Потребител може да изпълни командата echo "test"като root, като използва командата:
doas echo "test"
Потребител, който има разрешения да използва doas, за да се издигне до потребител "www", може да изпълни командата vim /var/www/http/index.htmlкато потребител "www", като използва командата:
doas -u www vim index.html
Това е полезно за някой, който управлява уеб сървъра, но няма пълни права на суперпотребител.
Силно препоръчително е да използвате разрешение вместо отказ, когато е възможно. Ако откажете на потребител да използва конкретна команда, той може да успее да се измъкне с помощта на алтернативен път или име на тази команда, ако съществува. Те също така могат да копират изпълнимия файл на командата в домашната си директория и след това да стартират този изпълним файл, като по този начин побеждават вашата система за разрешения.
Най-общо казано е по-добра идея да използвате doas, отколкото да използвате su, защото никой не трябва да споделя root паролата. Няма шанс някой да го промени, да го забрави и да заключи всички от системата, ако всеки използва собствената си парола за root достъп. Дневниците се съхраняват в /var/log/secure.
Можете да запазите всичките си променливи на средата с keepenv, което е полезно, ако редакторът ви е настроен на нещо и не искате това да се променя, когато станете друг потребител. Ето един пример с mynewuser:
permit nopass keepenv mynewuser
Понякога има ситуации, при които презаписването на всяка променлива на средата може да наруши нещата, но със setenv можете да избирате кои да прехвърлите. Ето един пример, който ще поддържа вашия редактор настроен на каквото искате за използване с git и някои други неща.
permit nopass setenv { VISUAL EDITOR } mynewuser
Можете също да използвате setenv за премахване на променливи на средата (като поставите тире преди всяка, която искате да премахнете) или да ги зададете на конкретни неща със знак за равенство. Например, ако искате да премахне променливата на средата VISUAL и да зададе EDITOR на vim, ще използвате този конфигурационен ред:
permit nopass setenv { -VISUAL EDITOR=vim } mynewuser
Ако doasе запомнил вашата парола, можете да го doas -Lнакарате да забрави паролата.
Използване на различна система? Tiny Tiny RSS Reader е безплатен четец и агрегатор с отворен код, самостоятелно хостван уеб базиран новинарски канал (RSS/Atom), предназначен да
Използване на различна система? Wiki.js е безплатно и модерно уики приложение с отворен код, изградено на Node.js, MongoDB, Git и Markdown. Изходният код на Wiki.js е публичен
Използване на различна система? Pagekit 1.0 CMS е красива, модулна, разширяема и лека, безплатна система за управление на съдържанието (CMS) с отворен код с
Използване на различна система? MODX Revolution е бърза, гъвкава, мащабируема система за управление на съдържанието (CMS) от корпоративен клас, написана на PHP. То и
Тази статия ви превежда през настройката на OpenBSD 5.5 (64-битов) на KVM с Vultr VPS. Стъпка 1. Влезте в контролния панел на Vultr. Стъпка 2. Щракнете върху РАЗГРАЖДАНЕ
Използване на различна система? osTicket е система за билети за поддръжка на клиенти с отворен код. Изходният код на osTicket се хоства публично на Github. В този урок
Използване на различна система? Flarum е безплатен софтуер за форуми от следващо поколение с отворен код, който прави онлайн дискусията забавна. Изходният код на Flarum се хоства o
Използване на различна система? TLS 1.3 е версия на протокола за сигурност на транспортния слой (TLS), който беше публикуван през 2018 г. като предложен стандарт в RFC 8446
Въведение WordPress е доминиращата система за управление на съдържанието в интернет. Той захранва всичко от блогове до сложни уебсайтове с динамично съдържание
Използване на различна система? Subrion 4.1 CMS е мощна и гъвкава система за управление на съдържанието (CMS) с отворен код, която носи интуитивно и ясно съдържание
Този урок ще ви покаже как да конфигурирате DNS услуга, която е лесна за поддръжка, лесна за конфигуриране и която като цяло е по-сигурна от класическия BIN
FEMP стек, който е сравним с LEMP стек в Linux, е колекция от софтуер с отворен код, който обикновено се инсталира заедно, за да даде възможност на FreeBS
MongoDB е NoSQL база данни от световна класа, която често се използва в по-новите уеб приложения. Той осигурява заявки с висока производителност, разделяне и репликация
Използване на различна система? Monica е система за управление на лични взаимоотношения с отворен код. Мислете за него като за CRM (популярен инструмент, използван от търговските екипи в th
Въведение Този урок демонстрира OpenBSD като решение за електронна търговия, използващо PrestaShop и Apache. Apache е необходим, тъй като PrestaShop има сложен UR
Използване на различна система? Fork е CMS с отворен код, написан на PHP. Изходният код на Forks се хоства на GitHub. Това ръководство ще ви покаже как да инсталирате Fork CM
Използване на различна система? Directus 6.4 CMS е мощна и гъвкава, безплатна и с отворен код Headless Content Management System (CMS), която предоставя на разработчиците
VPS сървърите често са насочени от натрапници. Често срещан тип атака се появява в системните регистрационни файлове като стотици неоторизирани опити за влизане в ssh. Настройвам
Въведение OpenBSD 5.6 въведе нов демон, наречен httpd, който поддържа CGI (чрез FastCGI) и TLS. Не е необходима допълнителна работа за инсталиране на новия http
Този урок ще ви покаже как да инсталирате груповия софтуер iRedMail на нова инсталация на FreeBSD 10. Трябва да използвате сървър с поне един гигабайт o
Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.
Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.
Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.
Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.
Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…
Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.
Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.
Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.
В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.
Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече
