Doasin esittely OpenBSD:llä

Tausta

OpenBSD:n vaihtoehto sudoon doas, vaikka se ei toimi samalla tavalla kuin sudo ja vaatii jonkin verran asetuksia. Se on lyhenne sanoista "dedicated openbsd application subexecutor". Vuonna 2015 julkaistu OpenBSD 5.8 sisälsi ensimmäisenä doas. Sen loi Ted Unangst, kun hän oli tyytymätön sudon monimutkaisuuteen ja hänellä oli ongelmia sudo-oletuskokoonpanon kanssa.

doasKomento on yksinkertainen suunnittelun eikä sisällä lisätoimintoja tarvitaan kehittää sysadmin infrastruktuureja. Useimmille ihmisille se on enemmän kuin tarpeeksi. Jos tarvitset sudo, asenna se pkg_add sudoroot-käyttäjänä.

Asennus

OpenBSD-versio 5.8 ja uudemmat on doasesiasennettu.

Kokoonpano

Antaa käyttäjien pyörän ryhmässä pääsyä doas, lisätä seuraavan /etc/doas.conf. Tarvitset pääkäyttäjän oikeudet muokataksesi tätä tiedostoa.

permit :wheel

Tämä antaa kaikille pyöräryhmän käyttäjille oikeuden suorittaa komentoja kenen tahansa käyttäjänä.

Jos haluat, että käyttäjät voivat syöttää salasanansa kerran, mutta heidän ei tarvitse syöttää sitä vähään aikaan, käytä persistvaihtoehtoa. Tässä on esimerkki, joka antaa luvat vain pyöräryhmälle:

permit persist :wheel

Voit sen sijaan käyttää nopassvaihtoehtoa, jos haluat, että heidän ei koskaan tarvitse syöttää salasanaansa:

permit nopass :wheel

Jos haluat, että käyttäjällä "mynewuser" on järjestelmänvalvojan oikeudet, voit joko lisätä heidät pyöräryhmään suorittamalla usermod -G wheel mynewuserpääkäyttäjänä tai lisätä rivin omaan, /etc/doas.confjotta se näyttää jokseenkin tältä :

permit nopass :wheel
permit nopass mynewuser

Tässä esimerkissä oletetaan, että käyttäjien ei tarvitse kirjoittaa salasanaa käytettäessä doas. Jos haluat asettaa sen niin, että mynewuser saa suorittaa komentoja vain www-käyttäjänä, kokoonpano olisi seuraava:

permit nopass :wheel
permit nopass mynewuser as www

Jos haluat, että mynewuser voi käyttää vain "vim"-komentoa doasin kanssa, käytä seuraavaa kokoonpanoa:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Muita konfigurointivaihtoehtoja on, mutta tässä käsitellyt ovat yleisimpiä. Jos haluat lukea lisää, voit käyttää komentoa man doas.conflukeaksesi doas.conf(5) -managerisivun.

Määritystiedostojen testaus

Testaaksesi asetustiedoston, käytä doas -C /etc/doas.confkomentoa. Jos annat komennon jälkeenpäin, esim. doas -C /etc/doas.conf vim, se kertoo, onko sinulla lupa suorittaa komento vai ei yrittämättä suorittaa komentoa.

Käyttö

Käyttäjä voi suorittaa komennon echo "test"pääkäyttäjänä käyttämällä komentoa: doas echo "test"

Käyttäjä, jolla on oikeudet nostaa itsensä käyttäjäksi "www", voi suorittaa komennon vim /var/www/http/index.htmlkäyttäjänä "www" käyttämällä komentoa: doas -u www vim index.html Tämä on hyödyllinen henkilölle, joka hallitsee verkkopalvelinta, mutta jolla ei ole täydellisiä pääkäyttäjän oikeuksia.

Parhaat käytännöt

On erittäin suositeltavaa, että käytät lupaa kieltämisen sijaan, jos mahdollista. Jos estät käyttäjää käyttämästä tiettyä komentoa, hän saattaa päästä eroon käyttämällä komennon vaihtoehtoista polkua tai nimeä, jos sellainen on olemassa. He voivat myös kopioida komennon suoritettavan tiedoston kotihakemistoonsa ja sitten suorittaa sen suoritettavan tiedoston, mikä kumoaa käyttöoikeusjärjestelmäsi.

Yleisesti ottaen on parempi idea käyttää doas kuin käyttää sua, koska kenenkään ei tarvitse jakaa root-salasanaa. Ei ole mahdollista, että joku muuttaa sitä, unohtaa sen ja lukitsisi kaikki pois järjestelmästä, jos jokainen käyttää omaa salasanaansa pääkäyttäjän oikeuksiin. Lokit säilytetään /var/log/secure.

Vinkkejä ja temppuja

Voit säilyttää kaikki ympäristömuuttujasi keepenv:llä, mikä on hyödyllistä, jos sinulla on editori asetettu johonkin, etkä halua sen muuttuvan, kun sinusta tulee toinen käyttäjä. Tässä on esimerkki mynewuserista:

permit nopass keepenv mynewuser

Joskus on tilanteita, joissa jokaisen ympäristömuuttujan päällekirjoittaminen voi rikkoa asioita, mutta setenvillä voit valita ja valita siirrettävät. Tässä on esimerkki, joka pitää editorisi asetettuna mihin tahansa, jota haluat käyttää gitin ja joidenkin muiden asioiden kanssa.

permit nopass setenv { VISUAL EDITOR } mynewuser

Voit myös käyttää setenv-komentoa ympäristömuuttujien poistamiseen (laittamalla viiva jokaisen poistettavan eteen) tai asettaa ne tiettyihin asioihin yhtäläisyysmerkillä. Jos esimerkiksi haluat sen poistavan ympäristömuuttujan VISUAL ja asettavan EDITORin arvoksi vim, käytä tätä asetusriviä:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Jos doason muistanut salasanasi, voit doas -Ltehdä sen unohtaaksesi salasanan.