Знайомство з doas на OpenBSD

Фон

Альтернативою OpenBSD sudoє doas, хоча вона не працює так само, як sudo, і вимагає певної конфігурації. Це абревіатура від «підвиконавця спеціальної програми openbsd». OpenBSD 5.8, випущений у 2015 році, першим включив doas. Він був створений Тедом Унангстом після того, як він був незадоволений складністю sudo і мав проблеми з конфігурацією sudo за замовчуванням.

doasКоманда проста по конструкції і не містить додаткових функцій , необхідних для складних інфраструктур системного адміністратора. Для більшості людей цього більш ніж достатньо. Якщо вам потрібно sudo, встановіть його pkg_add sudoяк root.

Установка

Попередньо встановлено OpenBSD версії 5.8 і новіших doas.

Конфігурація

Щоб надати користувачам групи коліс доступ до doas, додайте наступне до /etc/doas.conf. Для редагування цього файлу вам знадобиться root-доступ.

permit :wheel

Це дасть всім користувачам у групі колеса дозвіл виконувати команди як будь-який користувач.

Якщо ви хочете, щоб користувачі могли вводити свій пароль один раз, а потім не вводити його деякий час, скористайтеся persistопцією. Ось приклад, який надає дозволи лише групі коліс:

permit persist :wheel

Натомість ви можете скористатися nopassопцією, якщо хочете, щоб їм ніколи не доводилося вводити свій пароль:

permit nopass :wheel

Якщо ви хочете, щоб користувач «mynewuser» мав права адміністратора, ви можете додати його до групи колеса, запустивши usermod -G wheel mynewuserяк root, або додати рядок до свого, /etc/doas.confщоб він виглядав приблизно так:

permit nopass :wheel
permit nopass mynewuser

У цьому прикладі передбачається, що вам не потрібно, щоб користувачі вводили пароль під час використання doas. Якщо ви хочете налаштувати так, щоб mynewuser міг виконувати команди лише як користувач www, конфігурація буде наступною:

permit nopass :wheel
permit nopass mynewuser as www

Якщо ви хочете, щоб mynewuser міг використовувати тільки команду "vim" з doas, використовуйте таку конфігурацію:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Існують інші варіанти конфігурації, але розглянуті тут є найпоширенішими. Якщо ви хочете прочитати більше, ви можете скористатися командою, man doas.confщоб прочитати сторінку керівництва doas.conf(5).

Тестування файлів конфігурації

Щоб перевірити файл конфігурації, скористайтеся doas -C /etc/doas.confкомандою. Якщо ви надасте команду пізніше, наприклад doas -C /etc/doas.conf vim, вона скаже вам, чи є у вас дозвіл виконувати команду чи ні, не намагаючись виконати команду.

Використання

Користувач може запустити команду echo "test"як root за допомогою команди: doas echo "test"

Користувач, який має права використовувати doas, щоб підвищити себе до користувача «www», може запустити команду vim /var/www/http/index.htmlяк користувач «www», використовуючи команду: doas -u www vim index.html Це корисно для тих, хто керує веб-сервером, але не має повних дозволів суперкористувача.

Кращі практики

Настійно рекомендується використовувати дозвіл замість відмови, де це можливо. Якщо ви забороните користувачеві використовувати конкретну команду, він може уникнути використання альтернативного шляху або імені цієї команди, якщо він існує. Вони також можуть скопіювати виконуваний файл команди в свій домашній каталог, а потім запустити цей виконуваний файл, тим самим перемігши вашу систему дозволів.

Взагалі кажучи, краще використовувати doas, ніж використовувати su, тому що ніхто не повинен ділитися паролем root. Немає шансів, що хтось змінить його, забуде та заблокує всіх із системи, якщо кожен використовує свій власний пароль для доступу root. Журнали зберігаються в /var/log/secure.

Поради та підказки

Ви можете зберігати всі змінні середовища за допомогою Keepenv, що корисно, якщо у вашому редакторі щось налаштовано і ви не хочете, щоб це змінювалося, коли ви станете іншим користувачем. Ось приклад із mynewuser:

permit nopass keepenv mynewuser

Іноді бувають ситуації, коли перезапис кожної змінної середовища може порушити ситуацію, але за допомогою setenv ви можете вибрати, які з них перенести. Ось приклад, який дозволить вашому редактору налаштувати те, що ви хочете, для використання з git та деякими іншими речами.

permit nopass setenv { VISUAL EDITOR } mynewuser

Ви також можете використовувати setenv для видалення змінних середовища (поставивши тире перед кожною, яку потрібно видалити) або встановити для них певні речі зі знаком рівності. Наприклад, якщо ви хочете, щоб він видалив змінну середовища VISUAL і встановив EDITOR на vim, ви повинні використовувати цей рядок конфігурації:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Якщо doasвін згадав ваш пароль, ви можете зробити, doas -Lщоб він забув пароль.