OpenBSD doas: различия между версиями
Ssh (обсуждение | вклад) м |
Ssh (обсуждение | вклад) м |
||
| Строка 1: | Строка 1: | ||
| − | Ted Unangst (tedu@) представил | + | Ted Unangst (tedu@) представил [http://www.tedunangst.com/flak/post/doas doas] - небольшую, поддерживающую лишь основные функции замену '''sudo''' для OpenBSD. |
| − | Начиная с OpenBSD 5.8 входит в состав базовой системы. Использовать '''doas''' крайне просто, достаточно создать файл конфигурации '''/etc/doas.conf'''. | + | Начиная с OpenBSD 5.8, '''doas''' входит в состав базовой системы. Использовать '''doas''' крайне просто, достаточно создать файл конфигурации '''/etc/doas.conf'''. |
Либеральная OpenBSD система: | Либеральная OpenBSD система: | ||
<pre>permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel</pre> | <pre>permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel</pre> | ||
| − | Пользователи группы '''wheel''', выполняют команды от пользователя '''root''' (используется по умолчанию, если не указан иной пользователь). Разрешено запускать любые команды без запроса пароля, значения переменных '''ENV''', '''PS1''' и '''SSH_AUTH_SOCK''' наследуются. | + | Пользователи группы '''wheel''', выполняют команды от пользователя '''root''' (root используется по умолчанию, если не указан иной пользователь). Разрешено запускать любые команды без запроса пароля, значения переменных '''ENV''', '''PS1''' и '''SSH_AUTH_SOCK''' наследуются. |
Тоже, что и выше, но с запросом пароля пользователя: | Тоже, что и выше, но с запросом пароля пользователя: | ||
<pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre> | <pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre> | ||
| − | Разрешает пользователю bob | + | Разрешает пользователю bob выполнить '''/bin/sh''' как fred: |
<pre>permit bob as fred cmd /bin/sh</pre> | <pre>permit bob as fred cmd /bin/sh</pre> | ||
| Строка 17: | Строка 17: | ||
<pre>deny :wheel</pre> | <pre>deny :wheel</pre> | ||
| − | Правила в '''doas.conf''' читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то | + | Правила в '''doas.conf''' читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешающее будет действовать, так как имеет приоритет. Кроме того, '''doas.conf''' должен завершаться пустой строкой. |
| + | |||
| + | [http://www.badbug.id.au/doas-or-how-i-use-sudo-on-openbsd-5-8/ По мотивам] | ||
Версия 03:47, 9 сентября 2015
Ted Unangst (tedu@) представил doas - небольшую, поддерживающую лишь основные функции замену sudo для OpenBSD.
Начиная с OpenBSD 5.8, doas входит в состав базовой системы. Использовать doas крайне просто, достаточно создать файл конфигурации /etc/doas.conf.
Либеральная OpenBSD система:
permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel
Пользователи группы wheel, выполняют команды от пользователя root (root используется по умолчанию, если не указан иной пользователь). Разрешено запускать любые команды без запроса пароля, значения переменных ENV, PS1 и SSH_AUTH_SOCK наследуются.
Тоже, что и выше, но с запросом пароля пользователя:
permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel
Разрешает пользователю bob выполнить /bin/sh как fred:
permit bob as fred cmd /bin/sh
Запретить всё пользователям группы wheel:
deny :wheel
Правила в doas.conf читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешающее будет действовать, так как имеет приоритет. Кроме того, doas.conf должен завершаться пустой строкой.