Doasi tutvustus OpenBSD-s

Taust

OpenBSD alternatiiviks sudoon doas, kuigi see ei tööta samamoodi kui sudo ja nõuab teatud seadistust. See on akronüüm sõnast "dedicated openbsd application subexecutor". 2015. aastal välja antud OpenBSD 5.8 oli esimene, mis sisaldas doas. Selle lõi Ted Unangst pärast seda, kui ta polnud sudo keerukusega rahul ja tal oli probleeme sudo vaikekonfiguratsiooniga.

doasKäsk on lihtne kavandatud ja ei sisalda lisafunktsioone vaja töötada sysadmin infrastruktuure. Enamiku inimeste jaoks on see enam kui piisav. Kui vajate sudo, installige see pkg_add sudoadministraatorina.

Paigaldamine

OpenBSD versioon 5.8 ja uuemad on doaseelinstallitud.

Seadistamine

Et anda kasutajatele ratta rühma juurdepääs doas, lisage järgmine /etc/doas.conf. Selle faili redigeerimiseks vajate juurjuurdepääsu.

permit :wheel

See annab kõigile rattarühma kasutajatele õiguse täita käske mis tahes kasutajana.

Kui soovite, et kasutajad saaksid oma parooli ühe korra sisestada, kuid ei pea seda mõnda aega sisestama, kasutage persistvalikut. Siin on näide, mis annab load ainult rattarühmale:

permit persist :wheel

Selle asemel võite kasutada nopassvalikut, kui soovite, et nad ei peaks kunagi oma parooli sisestama:

permit nopass :wheel

Kui soovite, et kasutajal "minuuuskasutaja" oleks administraatoriõigused, võite need lisada rattagruppi, käivitades usermod -G wheel mynewuseradministraatorina, või lisada omale rea, /etc/doas.confet see näeks välja umbes järgmine:

permit nopass :wheel
permit nopass mynewuser

See näide eeldab, et kasutajad ei pea rakenduse kasutamisel parooli sisestama doas. Kui soovite seadistada nii, et mynewuser tohib käske täita ainult www-kasutajana, oleks konfiguratsioon järgmine:

permit nopass :wheel
permit nopass mynewuser as www

Kui soovite, et mynewuser saaks doas-iga kasutada ainult käsku "vim", kasutage järgmist konfiguratsiooni:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

On ka teisi konfiguratsioonivalikuid, kuid siin käsitletud on kõige levinumad. Kui soovid rohkem lugeda, võid kasutada käsku man doas.confdoas.conf(5) juhendi lugemiseks.

Konfiguratsioonifailide testimine

Konfiguratsioonifaili testimiseks kasutage doas -C /etc/doas.confkäsku. Kui annate hiljem käsu, nt doas -C /etc/doas.conf vim, ütleb see teile, kas teil on õigus käsku käivitada või mitte, ilma käsku täitmata.

Kasutamine

Kasutaja võib käivitada käsu echo "test"administraatorina, kasutades käsku: doas echo "test"

Kasutaja, kellel on õigus kasutada doas, et tõsta end kasutajaks "www", võib käitada käsku vim /var/www/http/index.htmlkasutajana "www", kasutades käsku: doas -u www vim index.html see on kasulik kellelegi, kes haldab veebiserverit, kuid kellel pole täielikke superkasutaja õigusi.

Parimad tavad

Võimaluse korral on väga soovitatav keelamise asemel luba kasutada. Kui keelate kasutajal konkreetse käsu kasutamise, võib ta pääseda selle käsu alternatiivse tee või nime kasutamisest, kui see on olemas. Samuti saavad nad kopeerida käsu käivitatava faili oma kodukataloogi ja seejärel käivitada selle käivitatava faili, alistades sellega teie lubade süsteemi.

Üldiselt on parem kasutada doas kui kasutada su-d, sest keegi ei pea juurparooli jagama. Kui igaüks kasutab juurjuurdepääsuks oma parooli, pole mingit võimalust, et keegi seda muudab, unustab selle ja lukustab kõik süsteemist välja. Logisid hoitakse sees /var/log/secure.

Näpunäiteid ja nippe

Saate hoida kõiki keskkonnamuutujaid Keepenv abil, mis on kasulik, kui olete oma redaktoris midagi seadistanud ja te ei soovi, et see muutuks, kui saate teiseks kasutajaks. Siin on näide minu uue kasutajaga:

permit nopass keepenv mynewuser

Mõnikord on olukordi, kus iga keskkonnamuutuja ülekirjutamine võib asju rikkuda, kuid setenv abil saate valida ja valida, millised need üle kanda. Siin on näide, mis hoiab teie redaktoris giti ja mõne muu funktsiooni kasutamiseks seadistatud seda, mida soovite.

permit nopass setenv { VISUAL EDITOR } mynewuser

Samuti saate kasutada setenv keskkonnamuutujate eemaldamiseks (pannes iga eemaldatava ette sidekriipsu) või määrata need võrdusmärgiga konkreetsetele asjadele. Näiteks kui soovite, et see eemaldaks keskkonnamuutuja VISUAL ja määraks EDITOR väärtuseks vim, kasutage seda konfiguratsioonirida:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Kui doason teie parool meelde jätnud, saate doas -Lselle unustada.