Ievads doas uz OpenBSD

Fons

OpenBSD alternatīva sudoir doas, lai gan tā nedarbojas tāpat kā sudo un prasa zināmu konfigurāciju. Tas ir akronīms vārdam "dedicated openbsd pieteikumu apakšizpildītājs". OpenBSD 5.8, kas tika izlaista 2015. gadā, bija pirmā, kas iekļāva doas. To izveidoja Teds Unangsts pēc tam, kad viņš nebija apmierināts ar sudo sarežģītību un viņam bija problēmas ar noklusējuma sudo konfigurāciju.

doasKomanda ir vienkāršs konstrukcijā, un nesatur uzlabotas funkcijas, kas nepieciešami, lai izstrādātu SysAdmin infrastruktūrām. Lielākajai daļai cilvēku tas ir vairāk nekā pietiekami. Ja nepieciešams sudo, instalējiet to pkg_add sudokā root.

Uzstādīšana

Ir doasiepriekš instalēta OpenBSD versija 5.8 un jaunāka versija .

Konfigurācija

Lai riteņu grupas lietotājiem piešķirtu piekļuvi doas, pievienojiet tālāk norādīto /etc/doas.conf. Lai rediģētu šo failu, jums būs nepieciešama root piekļuve.

permit :wheel

Tas visiem riteņu grupas lietotājiem dos atļauju izpildīt komandas kā jebkuram lietotājam.

Ja vēlaties, lai lietotāji varētu ievadīt savu paroli vienu reizi, bet kādu laiku tā nav jāievada, izmantojiet persistopciju. Šeit ir piemērs, kas piešķir atļaujas tikai riteņu grupai:

permit persist :wheel

Tā vietā varat izmantot nopassopciju, ja vēlaties, lai viņiem nekad nebūtu jāievada sava parole:

permit nopass :wheel

Ja vēlaties, lai lietotājam "mynewuser" būtu administratora tiesības, varat vai nu pievienot tos riteņu grupai, palaižot usermod -G wheel mynewuserkā root, vai pievienot rindiņu savam, /etc/doas.conflai tas izskatītos šādi:

permit nopass :wheel
permit nopass mynewuser

Šajā piemērā tiek pieņemts, ka, izmantojot , lietotājiem nav jāievada parole doas. Ja vēlaties to iestatīt tā, lai mynewuser būtu atļauts izpildīt komandas tikai kā www lietotājam, konfigurācija būtu šāda:

permit nopass :wheel
permit nopass mynewuser as www

Ja vēlaties, lai mynewuser ar doas varētu izmantot tikai komandu "vim", izmantojiet šādu konfigurāciju:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Ir arī citas konfigurācijas iespējas, taču šeit aprakstītās ir visizplatītākās. Ja vēlaties lasīt vairāk, varat izmantot komandu, man doas.conflai izlasītu doas.conf(5) manlapu.

Konfigurācijas failu pārbaude

Lai pārbaudītu konfigurācijas failu, izmantojiet doas -C /etc/doas.confkomandu. Ja pēc tam ievadāt komandu, piemēram doas -C /etc/doas.conf vim, tā jums pateiks, vai jums ir atļauja palaist komandu, nemēģinot izpildīt komandu.

Lietošana

Lietotājs var palaist komandu echo "test"kā root, izmantojot komandu: doas echo "test"

Lietotājs, kuram ir atļaujas izmantot doas, lai paaugstinātu sevi par lietotāju “www”, var palaist komandu vim /var/www/http/index.htmlkā lietotājs “www”, izmantojot komandu: doas -u www vim index.html Šī ir noderīga persona, kas pārvalda tīmekļa serveri, bet kam nav pilnu superlietotāja atļauju.

Labākā pieredze

Ja iespējams, ir ļoti ieteicams izmantot atļauju, nevis atteikt. Ja liedzat lietotājam izmantot noteiktu komandu, viņš, iespējams, varēs izvairīties, izmantojot alternatīvu šīs komandas ceļu vai nosaukumu, ja tāds pastāv. Viņi arī var kopēt komandas izpildāmo failu savā mājas direktorijā un pēc tam palaist šo izpildāmo failu, tādējādi pārspējot jūsu atļauju sistēmu.

Vispārīgi runājot, labāk ir izmantot doas, nevis lietot su, jo nevienam nav jādala root parole. Ja ikviens root piekļuvei izmanto savu paroli, nav nekādu iespēju, ka kāds to mainīs, aizmirsīs un bloķēs visus no sistēmas. Baļķi tiek glabāti /var/log/secure.

Padomi un triki

Varat saglabāt visus vides mainīgos, izmantojot Keepenv, kas ir noderīgi, ja redaktoram ir kaut kas iestatīts un nevēlaties, lai tas mainītos, kad kļūstat par citu lietotāju. Šeit ir piemērs ar mynewuser:

permit nopass keepenv mynewuser

Dažreiz ir situācijas, kad katra vides mainīgā pārrakstīšana var sabojāt lietas, taču, izmantojot setenv, varat izvēlēties un izvēlēties, kurus no tiem pārnest. Šeit ir piemērs, kas ļaus jūsu redaktoram iestatīt visu, ko vēlaties izmantot kopā ar git un dažām citām lietām.

permit nopass setenv { VISUAL EDITOR } mynewuser

Varat arī izmantot setenv, lai noņemtu vides mainīgos (liekot domuzīmi pirms katra no tiem, ko vēlaties noņemt) vai iestatīt tos noteiktām lietām ar vienādības zīmi. Piemēram, ja vēlaties noņemt vides mainīgo VISUAL un iestatīt EDITOR uz vim, izmantojiet šo konfigurācijas rindu:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Ja esat doasatcerējies jūsu paroli, varat darīt doas -L, lai tā aizmirstu paroli.