Въведение в doas на OpenBSD

Заден план

Алтернативата на OpenBSD на sudoе doas, въпреки че не работи по същия начин като sudo и изисква известна конфигурация. Това е съкращение за "специализиран подизпълнител на openbsd приложение". OpenBSD 5.8, издаден през 2015 г., беше първият, който включи doas. Създаден е от Тед Унангст, след като той не беше доволен от сложността на sudo и имаше проблеми с конфигурацията на sudo по подразбиране.

В doasзаповедта е проста, като дизайн и не съдържа допълнителни функции, необходими за сложни Sysadmin инфраструктури. За повечето хора това е повече от достатъчно. Ако имате нужда sudo, инсталирайте го с pkg_add sudoroot.

Инсталация

OpenBSD версия 5.8 и по-нова е doasпредварително инсталирана.

Конфигурация

За да дадете на потребителите в групата колела достъп до doas, добавете следното към /etc/doas.conf. Ще ви е необходим root достъп, за да редактирате този файл.

permit :wheel

Това ще даде на всички потребители в групата на колелата разрешение да изпълняват команди като всеки потребител.

Ако искате потребителите да могат да въвеждат паролата си веднъж, след което да не се налага да я въвеждат известно време, използвайте persistопцията. Ето пример, който дава разрешения само на групата колела:

permit persist :wheel

Вместо това можете да използвате nopassопцията, ако искате никога да не им се налага да въвеждат паролата си:

permit nopass :wheel

Ако искате потребителят "mynewuser" да има администраторски права, можете или да ги добавите към групата на колелата, като стартирате usermod -G wheel mynewuserкато root, или да добавите ред към вашия, /etc/doas.confтака че да изглежда донякъде по следния начин:

permit nopass :wheel
permit nopass mynewuser

Този пример предполага, че не се нуждаете от вашите потребители да въвеждат парола, когато използвате doas. Ако искате да го настроите така, че mynewuser да има право да изпълнява команди само като www потребител, конфигурацията ще бъде както следва:

permit nopass :wheel
permit nopass mynewuser as www

Ако искате mynewuser да може да използва само командата "vim" с doas, използвайте следната конфигурация:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Има и други опции за конфигурация, но разгледаните тук са най-често срещаните. Ако искате да прочетете повече, можете да използвате командата, за man doas.confда прочетете man страницата doas.conf(5).

Тестване на конфигурационни файлове

За да тествате конфигурационен файл, използвайте doas -C /etc/doas.confкомандата. Ако предоставите команда след това, напр. doas -C /etc/doas.conf vim, тя ще ви каже дали имате разрешение да изпълнявате команда или не, без да се опитвате да изпълните командата.

Използване

Потребител може да изпълни командата echo "test"като root, като използва командата: doas echo "test"

Потребител, който има разрешения да използва doas, за да се издигне до потребител "www", може да изпълни командата vim /var/www/http/index.htmlкато потребител "www", като използва командата: doas -u www vim index.html Това е полезно за някой, който управлява уеб сървъра, но няма пълни права на суперпотребител.

Най-добри практики

Силно препоръчително е да използвате разрешение вместо отказ, когато е възможно. Ако откажете на потребител да използва конкретна команда, той може да успее да се измъкне с помощта на алтернативен път или име на тази команда, ако съществува. Те също така могат да копират изпълнимия файл на командата в домашната си директория и след това да стартират този изпълним файл, като по този начин побеждават вашата система за разрешения.

Най-общо казано е по-добра идея да използвате doas, отколкото да използвате su, защото никой не трябва да споделя root паролата. Няма шанс някой да го промени, да го забрави и да заключи всички от системата, ако всеки използва собствената си парола за root достъп. Дневниците се съхраняват в /var/log/secure.

Съвети и трикове

Можете да запазите всичките си променливи на средата с keepenv, което е полезно, ако редакторът ви е настроен на нещо и не искате това да се променя, когато станете друг потребител. Ето един пример с mynewuser:

permit nopass keepenv mynewuser

Понякога има ситуации, при които презаписването на всяка променлива на средата може да наруши нещата, но със setenv можете да избирате кои да прехвърлите. Ето един пример, който ще поддържа вашия редактор настроен на каквото искате за използване с git и някои други неща.

permit nopass setenv { VISUAL EDITOR } mynewuser

Можете също да използвате setenv за премахване на променливи на средата (като поставите тире преди всяка, която искате да премахнете) или да ги зададете на конкретни неща със знак за равенство. Например, ако искате да премахне променливата на средата VISUAL и да зададе EDITOR на vim, ще използвате този конфигурационен ред:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Ако doasе запомнил вашата парола, можете да го doas -Lнакарате да забрави паролата.