OpenBSD doas: различия между версиями
Ssh (обсуждение | вклад) м |
Ssh (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
| − | Ted Unangst (tedu@) представил в -current (OpenBSD 5.8) [http://www.tedunangst.com/flak/post/doas doas] - небольшую, поддерживающую лишь основные функции замену sudo для OpenBSD. | + | Ted Unangst (tedu@) представил в -current (OpenBSD 5.8) [http://www.tedunangst.com/flak/post/doas doas] - небольшую, поддерживающую лишь основные функции замену '''sudo''' для OpenBSD. |
| − | Начиная с OpenBSD 5.8 входит в состав базовой системы. Использовать doas | + | Начиная с OpenBSD 5.8 входит в состав базовой системы. Использовать '''doas''' крайне просто, достаточно создать файл конфигурации '''/etc/doas.conf'''. |
Либеральная OpenBSD система: | Либеральная OpenBSD система: | ||
<pre>permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel</pre> | <pre>permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel</pre> | ||
| − | Пользователи группы wheel, выполняют команды от | + | Пользователи группы '''wheel''', выполняют команды от пользователя '''root''' (используется по умолчанию, если не указано иной пользователь). Разрешено запускать любые команды без запроса пароля, значения переменных '''ENV''', '''PS1''' и '''SSH_AUTH_SOCK''' наследуются. |
Тоже, что и выше, но с запросом пароля пользователя: | Тоже, что и выше, но с запросом пароля пользователя: | ||
<pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre> | <pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre> | ||
| − | Разрешает пользователю bob запустить /bin/sh как fred: | + | Разрешает пользователю bob запустить '''/bin/sh''' как fred: |
<pre>permit bob as fred cmd /bin/sh</pre> | <pre>permit bob as fred cmd /bin/sh</pre> | ||
| − | Запретить всё пользователям группы wheel: | + | Запретить всё пользователям группы '''wheel''': |
<pre>deny :wheel</pre> | <pre>deny :wheel</pre> | ||
| − | Правила в doas.conf читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешение будет иметь приоритет и будет действовать. Кроме того doas.conf должен завершаться пустой строкой. | + | Правила в '''doas.conf''' читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешение будет иметь приоритет и будет действовать. Кроме того '''doas.conf''' должен завершаться пустой строкой. |
Версия 04:54, 6 сентября 2015
Ted Unangst (tedu@) представил в -current (OpenBSD 5.8) doas - небольшую, поддерживающую лишь основные функции замену sudo для OpenBSD.
Начиная с OpenBSD 5.8 входит в состав базовой системы. Использовать doas крайне просто, достаточно создать файл конфигурации /etc/doas.conf.
Либеральная OpenBSD система:
permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel
Пользователи группы wheel, выполняют команды от пользователя root (используется по умолчанию, если не указано иной пользователь). Разрешено запускать любые команды без запроса пароля, значения переменных ENV, PS1 и SSH_AUTH_SOCK наследуются.
Тоже, что и выше, но с запросом пароля пользователя:
permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel
Разрешает пользователю bob запустить /bin/sh как fred:
permit bob as fred cmd /bin/sh
Запретить всё пользователям группы wheel:
deny :wheel
Правила в doas.conf читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешение будет иметь приоритет и будет действовать. Кроме того doas.conf должен завершаться пустой строкой.