OpenBSD doas: различия между версиями

Материал из OpenBSD-Wiki
Перейти к навигации Перейти к поиску
Строка 16: Строка 16:
 
Permit users in the wheel group to execute commands as root user (defaults to root user if not specified), allow to run everything without requiring password and preserve the environment variables ENV, PS1 and SSH_AUTH_SOCK
 
Permit users in the wheel group to execute commands as root user (defaults to root user if not specified), allow to run everything without requiring password and preserve the environment variables ENV, PS1 and SSH_AUTH_SOCK
  
Пользователи входящие в группу wheel, выполняют команды от имени пользователя root (root используется по умолчанию, если не указано иное имя пользователя). Дозволяется запускать любые команды без запроса пароля и наследуя значения переменных ENV, PS1 и SSH_AUTH_SOCK.
+
Пользователи группы wheel, выполняют команды от имени пользователя root (используется по умолчанию, если не указано иное имя пользователя). Разрешено запускать любые команды без запроса пароля, значения переменных ENV, PS1 и SSH_AUTH_SOCK наследуются.
  
 
Same as above but do prompt the user for a valid password (implicitly, ask user for a password because it doesn't have nopass):
 
Same as above but do prompt the user for a valid password (implicitly, ask user for a password because it doesn't have nopass):
 +
 +
Тоже, что и выше, но с запросом пароля пользователя:
 +
 
<pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre>
 
<pre>permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel</pre>
  
 
Allow bob to run /bin/sh as fred
 
Allow bob to run /bin/sh as fred
 +
 +
Разрешает пользователю bob запустить /bin/sh как fred:
 +
 
<pre>permit bob as fred cmd /bin/sh</pre>
 
<pre>permit bob as fred cmd /bin/sh</pre>
  
 
Disallow users in wheel group to do anything:
 
Disallow users in wheel group to do anything:
 +
 +
Запретить всё пользователям группы wheel:
 +
 
<pre>deny :wheel</pre>
 
<pre>deny :wheel</pre>
  
 
The rules in doas.conf are read top-down. So, if you have a deny :wheel followed by permit nopass :wheel on the next line, then the permit rule will take precedence and be in effect. doas.conf also requires a new line at the end of the file.
 
The rules in doas.conf are read top-down. So, if you have a deny :wheel followed by permit nopass :wheel on the next line, then the permit rule will take precedence and be in effect. doas.conf also requires a new line at the end of the file.
 +
 +
Правила в doas.conf читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешение будет иметь приоритет и будет действовать. Кроме того doas.conf должен завершаться пустой строкой.

Версия 04:38, 6 сентября 2015

По мотивам

There is a new sudo replacement in town and it's called doas which I use on OpenBSD 5.8 (snapshot). Ted Unangst (tedu) developed it as a simple replacement to sudo (without all bells and whistles) to support the use case for a simple, small sudo-like replacement for OpenBSD. Long live sudo, no more sudo1.

Ted Unangst (tedu@) представил в -current (OpenBSD 5.8) doas(1) -- небольшую, поддерживающую только основные пользовательские функции замену sudo для OpenBSD.

Starting OpenBSD 5.8, doas comes pre-installed as part of base cd set. To use it is super simple; Create a configuration file /etc/doas.conf with the following configuration:

Начиная с OpenBSD 5.8 входит в состав базовой системы. Использовать doas(1) крайне просто, достаточно создать файл конфигурации /etc/doas.conf.

Super liberal OpenBSD system (ohai! happy sysadmin day):

Крайне либеральная OpenBSD система: 

permit nopass keepenv { ENV PS1 SSH_AUTH_SOCK } :wheel

Permit users in the wheel group to execute commands as root user (defaults to root user if not specified), allow to run everything without requiring password and preserve the environment variables ENV, PS1 and SSH_AUTH_SOCK

Пользователи группы wheel, выполняют команды от имени пользователя root (используется по умолчанию, если не указано иное имя пользователя). Разрешено запускать любые команды без запроса пароля, значения переменных ENV, PS1 и SSH_AUTH_SOCK наследуются.

Same as above but do prompt the user for a valid password (implicitly, ask user for a password because it doesn't have nopass):

Тоже, что и выше, но с запросом пароля пользователя: 

permit keepenv {ENV PS1 SSH_AUTH_SOCK} :wheel

Allow bob to run /bin/sh as fred

Разрешает пользователю bob запустить /bin/sh как fred: 

permit bob as fred cmd /bin/sh

Disallow users in wheel group to do anything:

Запретить всё пользователям группы wheel: 

deny :wheel

The rules in doas.conf are read top-down. So, if you have a deny :wheel followed by permit nopass :wheel on the next line, then the permit rule will take precedence and be in effect. doas.conf also requires a new line at the end of the file.

Правила в doas.conf читаются сверху вниз, поэтому если запрещающее правило следует сразу за разрешающим, то разрешение будет иметь приоритет и будет действовать. Кроме того doas.conf должен завершаться пустой строкой.

Источник — http://www.qbsd.ru/index.php?title=OpenBSD_doas&oldid=417