Kynning á doas á OpenBSD

Bakgrunnur

Val OpenBSD við sudoer doas, þó það virki ekki á sama hátt og sudo og krefst einhverrar uppsetningar. Það er skammstöfun fyrir "dedicated openbsd application subexecutor". OpenBSD 5.8, sem kom út árið 2015, var það fyrsta sem inniheldur doas. Það var búið til af Ted Unangst eftir að hann var ósáttur við flókið sudo og átti í vandræðum með sjálfgefna sudo uppsetningu.

The doasstjórn er einfalt við hönnun og innihaldi ekki háþróaður lögun sem þarf til að vandaður kerfisstjórann innra skipulagi. Fyrir flesta er það meira en nóg. Ef þú þarft sudoskaltu setja það upp með pkg_add sudosem rót.

Uppsetning

OpenBSD útgáfa 5.8 og nýrri hefur doasforuppsett.

Stillingar

Til að veita notendum í hjólahópnum aðgang að doasskaltu bæta eftirfarandi við /etc/doas.conf. Þú þarft rótaraðgang til að breyta þessari skrá.

permit :wheel

Þetta mun veita öllum notendum í hjólahópnum leyfi til að framkvæma skipanir eins og hvaða notanda sem er.

Ef þú vilt að notendur geti slegið inn lykilorðið sitt einu sinni, þá þarftu ekki að slá það inn í smá stund, notaðu persistvalkostinn. Hér er dæmi sem veitir aðeins hjólahópnum heimildir:

permit persist :wheel

Þú getur í staðinn notað nopassvalkostinn ef þú vilt að þeir þurfi aldrei að slá inn lykilorðið sitt:

permit nopass :wheel

Ef þú vilt að notandinn "mynewuser" hafi stjórnunarréttindi, geturðu annað hvort bætt þeim við hjólahópinn með því að keyra usermod -G wheel mynewusersem rót eða bætt við línu við þinn /etc/doas.confsvo hún lítur að einhverju leyti út eins og eftirfarandi:

permit nopass :wheel
permit nopass mynewuser

Þetta dæmi gerir ráð fyrir að þú þurfir ekki notendur þína til að slá inn lykilorð þegar þú notar doas. Ef þú vilt stilla það þannig að mynewuser sé aðeins heimilt að framkvæma skipanir sem www notandi, þá væri uppsetningin sem hér segir:

permit nopass :wheel
permit nopass mynewuser as www

Ef þú vilt að mynewuser geti aðeins notað "vim" skipunina með doas, notaðu eftirfarandi stillingar:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Það eru aðrir stillingarvalkostir, en þeir sem fjallað er um hér eru algengustu. Ef þú vilt lesa meira geturðu notað skipunina man doas.conftil að lesa doas.conf(5) manpage.

Að prófa stillingarskrár

Notaðu doas -C /etc/doas.confskipunina til að prófa stillingarskrá . Ef þú gefur upp skipun eftir á, td doas -C /etc/doas.conf vim, mun hún segja þér hvort þú hafir leyfi til að keyra skipun eða ekki án þess að reyna að framkvæma skipunina.

Notkun

Notandi getur keyrt skipunina echo "test"sem rót með því að nota skipunina: doas echo "test"

Notandi sem hefur heimildir til að nota doas til að hækka sig upp í notandann "www" getur keyrt skipunina vim /var/www/http/index.htmlsem notandann "www" með því að nota skipunina: doas -u www vim index.html Þetta er gagnlegt fyrir einhvern sem stjórnar vefþjóninum en hefur ekki fullar ofurnotendaheimildir.

Bestu starfsvenjur

Það er mjög mælt með því að þú notir leyfi í stað þess að hafna þar sem hægt er. Ef þú neitar notanda um að nota tiltekna skipun gæti hann komist upp með að nota aðra slóð eða nafn á þeirri skipun ef hún er til. Þeir geta líka afritað keyrslu skipunarinnar í heimaskrána sína og keyrt síðan keyrsluna og þar með sigrað heimildakerfið þitt.

Almennt séð er betri hugmynd að nota doas en að nota su því enginn þarf að deila rót lykilorðinu. Það eru engar líkur á því að einhver breyti því, gleymi því og læsi alla úti í kerfinu ef allir nota sitt eigið lykilorð fyrir rótaraðgang. Dagskrár eru geymdar í /var/log/secure.

Ráð og brellur

Þú getur haldið öllum umhverfisbreytum þínum með keepenv, sem er gagnlegt ef þú ert með ritstjórann þinn stilltan á eitthvað og vilt ekki að það breytist þegar þú verður annar notandi. Hér er dæmi með mynewuser:

permit nopass keepenv mynewuser

Stundum eru aðstæður þar sem yfirskrift á hverri umhverfisbreytu getur brotið hluti, en með setenv geturðu valið og valið hverja þú vilt flytja yfir. Hér er dæmi sem mun halda ritlinum þínum stillt á það sem þú vilt nota með git og sumum öðrum hlutum.

permit nopass setenv { VISUAL EDITOR } mynewuser

Þú getur líka notað setenv til að fjarlægja umhverfisbreytur (með því að setja strik á undan hverja sem þú vilt fjarlægja) eða stilla þær á ákveðna hluti með jafnaðarmerki. Til dæmis, ef þú vilt að það fjarlægi umhverfisbreytuna VISUAL og stillir EDITOR á vim, myndirðu nota þessa stillingarlínu:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Ef þú doashefur munað lykilorðið þitt geturðu gert doas -Ltil að láta það gleyma lykilorðinu.