Úvod do doas na OpenBSD

Pozadie

Alternatívou OpenBSD k sudoje doas, aj keď nefunguje rovnakým spôsobom ako sudo a vyžaduje určitú konfiguráciu. Je to skratka pre „dedicated openbsd application subexecutor“. OpenBSD 5.8, vydaný v roku 2015, bol prvý, ktorý obsahoval doas. Vytvoril ho Ted Unangst po tom, čo nebol spokojný so zložitosťou sudo a mal problémy s predvolenou konfiguráciou sudo.

doasPríkaz je jednoduchý zámerné a neobsahuje pokročilé funkcie potrebné pre komplikované sysadmin infraštruktúry. Pre väčšinu ľudí je to viac než dosť. Ak potrebujete sudo, nainštalujte ho pkg_add sudoako root.

Inštalácia

OpenBSD verzia 5.8 a novšia je doaspredinštalovaná.

Konfigurácia

Ak chcete používateľom v skupine kolies poskytnúť prístup k doas, pridajte do /etc/doas.conf. Na úpravu tohto súboru budete potrebovať prístup root.

permit :wheel

To dá všetkým používateľom v skupine kolies povolenie vykonávať príkazy ako ktorýkoľvek používateľ.

Ak chcete, aby používatelia mohli zadať svoje heslo raz a potom ho chvíľu nemuseli zadávať, použite túto persistmožnosť. Tu je príklad, ktorý dáva povolenia iba skupine kolies:

permit persist :wheel

Namiesto toho môžete použiť túto nopassmožnosť, ak chcete, aby nikdy nemuseli zadávať svoje heslo:

permit nopass :wheel

Ak chcete, aby mal používateľ „mynewuser“ práva správcu, môžete ho pridať do skupiny kolies spustením usermod -G wheel mynewuserako root alebo pridať riadok do svojho, /etc/doas.confaby to vyzeralo asi takto:

permit nopass :wheel
permit nopass mynewuser

Tento príklad predpokladá, že nepotrebujete, aby vaši používatelia zadávali heslo, keď používate doas. Ak by ste to chceli nastaviť tak, aby mal mynewuser povolené vykonávať príkazy iba ako používateľ www, konfigurácia by bola nasledovná:

permit nopass :wheel
permit nopass mynewuser as www

Ak chcete, aby mynewuser mohol používať iba príkaz "vim" s doas, použite nasledujúcu konfiguráciu:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Existujú aj iné možnosti konfigurácie, ale tie, ktoré sú tu uvedené, sú najbežnejšie. Ak si chcete prečítať viac, môžete použiť príkaz man doas.confna prečítanie manuálovej stránky doas.conf(5).

Testovanie konfiguračných súborov

Ak chcete otestovať konfiguračný súbor, použite doas -C /etc/doas.confpríkaz. Ak zadáte príkaz dodatočne, napr. doas -C /etc/doas.conf vim, povie vám, či máte povolenie na spustenie príkazu alebo nie, bez pokusu o vykonanie príkazu.

Použitie

Používateľ môže spustiť príkaz echo "test"ako root pomocou príkazu: doas echo "test"

Používateľ, ktorý má oprávnenie používať doas, aby sa povýšil na používateľa „www“, môže spustiť príkaz vim /var/www/http/index.htmlako používateľ „www“ pomocou príkazu: doas -u www vim index.html Toto je užitočné pre niekoho, kto spravuje webový server, ale nemá úplné oprávnenia superužívateľa.

Osvedčené postupy

Ak je to možné, dôrazne sa odporúča použiť povolenie namiesto odmietnutia. Ak používateľovi odmietnete používať konkrétny príkaz, možno sa mu nebude dať použiť alternatívna cesta alebo názov tohto príkazu, ak existuje. Môžu tiež skopírovať spustiteľný súbor príkazu do svojho domovského adresára a potom spustiť tento spustiteľný súbor, čím porazia váš systém povolení.

Všeobecne povedané, je lepší nápad použiť doas ako použiť su, pretože nikto nemusí zdieľať heslo root. Nie je šanca, že to niekto zmení, zabudne a každého uzamkne zo systému, ak každý použije svoje vlastné heslo na root prístup. Záznamy sa uchovávajú v /var/log/secure.

Tipy a triky

Všetky premenné prostredia si môžete ponechať pomocou keepenv, čo je užitočné, ak máte editor na niečo nastavený a nechcete, aby sa zmenil, keď sa stanete ďalším používateľom. Tu je príklad s mynewuser:

permit nopass keepenv mynewuser

Niekedy nastanú situácie, keď prepísanie každej premennej prostredia môže pokaziť veci, ale pomocou setenv si môžete vybrať, ktoré z nich chcete preniesť. Tu je príklad, ktorý udrží váš editor nastavený na čokoľvek, čo chcete na použitie s git a niektorými ďalšími vecami.

permit nopass setenv { VISUAL EDITOR } mynewuser

Môžete tiež použiť setenv na odstránenie premenných prostredia (vložením pomlčky pred každú z nich, ktorú chcete odstrániť) alebo ich nastaviť na konkrétne veci so znamienkom rovnosti. Ak by ste napríklad chceli odstrániť premennú prostredia VISUAL a nastaviť EDITOR na vim, použili by ste tento konfiguračný riadok:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Ak doassi zapamätal svoje heslo, môžete ho doas -Lprinútiť zabudnúť.