Įvadas į doas OpenBSD

Fonas

OpenBSD alternatyva sudoyra doas, nors ji neveikia taip pat kaip sudo ir reikalauja tam tikros konfigūracijos. Tai yra „dedicated openbsd Application subexecutor“ akronimas. OpenBSD 5.8, išleistas 2015 m., buvo pirmasis, kuriame buvo doas. Jį sukūrė Tedas Unangstas, kai buvo nepatenkintas sudo sudėtingumu ir turėjo problemų dėl numatytosios sudo konfigūracijos.

doasKomanda yra paprastas dizainas ir nėra papildomų funkcijų, reikalingų parengti SysAdmin infrastruktūrą. Daugumai žmonių to daugiau nei pakankamai. Jei reikia sudo, įdiekite pkg_add sudokaip root.

Montavimas

Iš doasanksto įdiegta OpenBSD 5.8 ir naujesnė versija .

Konfigūracija

Norėdami suteikti ratų grupės naudotojams prieigą prie doas, pridėkite toliau nurodytą informaciją prie /etc/doas.conf. Norėdami redaguoti šį failą, jums reikės root prieigos.

permit :wheel

Tai suteiks visiems ratų grupės vartotojams leidimą vykdyti komandas kaip bet kuriam vartotojui.

Jei norite, kad vartotojai galėtų vieną kartą įvesti slaptažodį ir kurį laiką jo nereikėtų įvesti, naudokite persistparinktį. Štai pavyzdys, suteikiantis leidimus tik ratų grupei:

permit persist :wheel

Vietoj to galite naudoti nopassparinktį, jei norite, kad jiems niekada nereikėtų įvesti slaptažodžio:

permit nopass :wheel

Jei norite, kad vartotojas "mynewuser" turėtų administratoriaus teises, galite įtraukti juos į ratų grupę paleisdami usermod -G wheel mynewuserkaip root arba pridėti eilutę prie savo /etc/doas.conf, kad atrodytų taip:

permit nopass :wheel
permit nopass mynewuser

Šiame pavyzdyje daroma prielaida, kad jums nereikia įvesti slaptažodžio, kai naudojate doas. Jei norite nustatyti, kad mynewuser būtų leista vykdyti komandas tik kaip www vartotojui, konfigūracija būtų tokia:

permit nopass :wheel
permit nopass mynewuser as www

Jei norite, kad mynewuser su doas galėtų naudoti tik komandą „vim“, naudokite šią konfigūraciją:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Yra ir kitų konfigūravimo parinkčių, tačiau čia aprašytos yra labiausiai paplitusios. Jei norite perskaityti daugiau, galite naudoti komandą man doas.confdoas.conf(5) vadovo puslapyje.

Konfigūracijos failų testavimas

Norėdami patikrinti konfigūracijos failą, naudokite doas -C /etc/doas.confkomandą. Jei vėliau pateiksite komandą, pvz. doas -C /etc/doas.conf vim, , ji pasakys, ar turite teisę vykdyti komandą, ar ne, nebandydami jos vykdyti.

Naudojimas

Vartotojas gali paleisti komandą echo "test"kaip root, naudodamas komandą: doas echo "test"

Vartotojas, turintis leidimus naudoti doas, kad galėtų tapti vartotoju „www“, gali paleisti komandą vim /var/www/http/index.htmlkaip vartotojas „www“, naudodamas komandą: doas -u www vim index.html Tai naudinga tiems, kurie valdo žiniatinklio serverį, bet neturi visų supervartotojo teisių.

Geriausia praktika

Labai rekomenduojama, jei įmanoma, naudoti leidimą, o ne atmesti. Jei uždrausite vartotojui naudoti konkrečią komandą, jis gali išsisukti nuo tos komandos alternatyvaus kelio arba pavadinimo, jei toks yra. Jie taip pat gali nukopijuoti komandos vykdomąjį failą į savo namų katalogą ir paleisti tą vykdomąjį failą, taip nugalėdami jūsų leidimų sistemą.

Paprastai tariant, geriau naudoti doas, nei naudoti su, nes niekas neturi dalytis root slaptažodžiu. Nėra jokios galimybės, kad kas nors jį pakeis, pamirš ir užblokuos visus iš sistemos, jei kiekvienas naudoja savo slaptažodį root prieigai. Žurnalai laikomi /var/log/secure.

Patarimai ir gudrybės

Visus aplinkos kintamuosius galite išsaugoti naudodami keepenv, o tai naudinga, jei turite ką nors nustatę redaktoriuje ir nenorite, kad jis pasikeistų, kai tapsite kitu vartotoju. Štai pavyzdys su mynewuser:

permit nopass keepenv mynewuser

Kartais pasitaiko situacijų, kai perrašant kiekvieną aplinkos kintamąjį viskas gali sutrikti, tačiau naudodami setenv galite pasirinkti, kuriuos perkelti. Štai pavyzdys, kuris leis jūsų redaktoriui nustatyti bet ką, kurį norite naudoti su git ir kai kuriais kitais dalykais.

permit nopass setenv { VISUAL EDITOR } mynewuser

Taip pat galite naudoti setenv, kad pašalintumėte aplinkos kintamuosius (prieš kiekvieną norimą pašalinti brūkšnelį) arba nustatykite juos konkrečius dalykus naudodami lygybės ženklą. Pavyzdžiui, jei norite pašalinti aplinkos kintamąjį VISUAL ir nustatyti EDITOR į vim, naudokite šią konfigūracijos eilutę:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Jei doasprisiminėte slaptažodį, galite padaryti doas -L, kad jis pamirštų slaptažodį.