Úvod do doas na OpenBSD

Pozadí

Alternativou OpenBSD k sudoje doas, i když nefunguje stejným způsobem jako sudo a vyžaduje určitou konfiguraci. Je to zkratka pro „dedicated openbsd application subexecutor“. OpenBSD 5.8, vydané v roce 2015, bylo první, které obsahovalo doas. Vytvořil ho Ted Unangst poté, co byl nespokojený se složitostí sudo a měl problémy s výchozí konfigurací sudo.

doasPříkaz je jednoduchý záměrné a neobsahuje pokročilé funkce potřebné pro komplikované sysadmin infrastruktury. Pro většinu lidí je to víc než dost. Pokud potřebujete sudo, nainstalujte jej pkg_add sudojako root.

Instalace

doasPředinstalováno je OpenBSD verze 5.8 a novější .

Konfigurace

Chcete-li uživatelům ve skupině kol poskytnout přístup k doas, přidejte do /etc/doas.conf. K úpravě tohoto souboru budete potřebovat přístup root.

permit :wheel

To dá všem uživatelům ve skupině kol oprávnění spouštět příkazy jako kterýkoli uživatel.

Pokud byste chtěli, aby uživatelé mohli zadat své heslo jednou a nemuseli je chvíli zadávat, použijte persistmožnost. Zde je příklad, který dává oprávnění pouze skupině kol:

permit persist :wheel

Místo toho můžete použít nopassmožnost, pokud chcete, aby nikdy nemuseli zadávat své heslo:

permit nopass :wheel

Pokud chcete, aby měl uživatel „mynewuser“ práva správce, můžete ho přidat do skupiny koleček spuštěním usermod -G wheel mynewuserjako root nebo přidat řádek do svého, /etc/doas.conftakže to bude vypadat nějak takto:

permit nopass :wheel
permit nopass mynewuser

Tento příklad předpokládá, že nepotřebujete, aby vaši uživatelé zadávali heslo, když používáte doas. Pokud byste to chtěli nastavit tak, aby mynewuser mohl spouštět příkazy pouze jako uživatel www, konfigurace by byla následující:

permit nopass :wheel
permit nopass mynewuser as www

Pokud byste chtěli, aby mynewuser mohl používat pouze příkaz "vim" s doas, použijte následující konfiguraci:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Existují další možnosti konfigurace, ale zde uvedené jsou nejběžnější. Pokud si chcete přečíst více, můžete použít příkaz man doas.confke čtení manuálové stránky doas.conf(5).

Testování konfiguračních souborů

Chcete-li otestovat konfigurační soubor, použijte doas -C /etc/doas.confpříkaz. Pokud zadáte příkaz dodatečně, např. doas -C /etc/doas.conf vim, řekne vám, zda máte oprávnění ke spuštění příkazu či nikoli, aniž byste se pokusili příkaz provést.

Používání

Uživatel může spustit příkaz echo "test"jako root pomocí příkazu: doas echo "test"

Uživatel, který má oprávnění používat doas, aby se povýšil na uživatele „www“, může spustit příkaz vim /var/www/http/index.htmljako uživatel „www“ pomocí příkazu: doas -u www vim index.html To je užitečné pro někoho, kdo spravuje webový server, ale nemá plná oprávnění superuživatele.

Osvědčené postupy

Důrazně se doporučuje, abyste tam, kde je to možné, místo odepření použili povolení. Pokud uživateli odepřete použití konkrétního příkazu, může se mu nepodařit použít alternativní cestu nebo název tohoto příkazu, pokud existuje. Mohou také zkopírovat spustitelný soubor příkazu do svého domovského adresáře a poté spustit tento spustitelný soubor, čímž porazí váš systém oprávnění.

Obecně řečeno, je lepší použít doas než su, protože nikdo nemusí sdílet heslo uživatele root. Není šance, že by to někdo změnil, zapomněl na to a zamkl všechny mimo systém, pokud každý používá své vlastní heslo pro root přístup. Protokoly jsou vedeny v /var/log/secure.

Tipy a triky

Všechny proměnné prostředí si můžete ponechat pomocí keepenv, což je užitečné, pokud máte editor na něco nastavený a nechcete, aby se to změnilo, když se stanete dalším uživatelem. Zde je příklad s mynewuser:

permit nopass keepenv mynewuser

Někdy nastanou situace, kdy přepsání každé proměnné prostředí může věci narušit, ale pomocí setenv si můžete vybrat, které z nich chcete přenést. Zde je příklad, který udrží váš editor nastavený na cokoli chcete pro použití s ​​git a některými dalšími věcmi.

permit nopass setenv { VISUAL EDITOR } mynewuser

Můžete také použít setenv k odstranění proměnných prostředí (vložením pomlčky před každou z nich, kterou chcete odstranit) nebo je nastavit na konkrétní věci se znaménkem rovná se. Pokud byste například chtěli, aby odstranila proměnnou prostředí VISUAL a nastavila EDITOR na vim, použili byste tento konfigurační řádek:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Pokud doassi pamatuje své heslo, můžete to doas -Ludělat tak, aby heslo zapomněl.