doas als sudo-Alternative unter OpenBSD verwenden

Auf OpenBSD-Systemen stellt doas eine Alternative zu sudo dar. Auch wenn es sich nicht exakt gleich verhält, erfordert es eine kleine Konfiguration. Die Abkürzung steht für „dedicated openbsd application subexecutor„. Seit der Veröffentlichung von OpenBSD 5.8 im Jahr 2015 ist doas enthalten – entwickelt wurde es von Ted Unangst, der mit der Komplexität und den Voreinstellungen von sudo unzufrieden war.

doas verfolgt einen bewusst einfachen Ansatz und verzichtet auf erweiterte Funktionen, die in komplexen Admin-Umgebungen gebraucht werden. Für die meisten Nutzer ist es jedoch vollkommen ausreichend. Wer dennoch sudo bevorzugt, sollte den Beitrag Create a Sudo User on OpenBSD lesen.

Installation

Ab Version 5.8 ist doas bereits vorinstalliert – eine manuelle Einrichtung entfällt.

Grundkonfiguration

Um den Mitgliedern der Gruppe wheel die Nutzung von doas zu erlauben, muss die Datei /etc/doas.conf angepasst werden. Dazu sind Root-Rechte notwendig.

permit :wheel

Diese Regel erlaubt es allen Nutzern der Gruppe wheel, Befehle als ein beliebiger Benutzer auszuführen.

Wenn Nutzer ihr Passwort nur einmal eingeben und für eine Sitzung nicht erneut bestätigen sollen, kann man die Option persist hinzufügen:

permit persist :wheel

Alternativ kann man die Passwortabfrage vollständig deaktivieren, indem man nopass verwendet:

permit nopass :wheel

doas-Konfigurationsdateien prüfen

Um sicherzustellen, dass die Konfigurationsdatei korrekt ist, kann folgender Befehl verwendet werden: doas -C /etc/doas.conf. Hängt man einen Befehl an, z. B. doas -C /etc/doas.conf vim, prüft das System, ob man berechtigt ist, diesen Befehl auszuführen – ohne ihn tatsächlich auszuführen.

Praktische Anwendungsbeispiele

Ein normaler Benutzer kann den Befehl echo "test" mit Root-Rechten wie folgt ausführen:

doas echo "test"

Hat ein Benutzer die Berechtigung, sich temporär als www-Benutzer auszugeben, kann er z. B. die Datei /var/www/http/index.html wie folgt mit vim bearbeiten:

doas -u www vim index.html

Das ist besonders nützlich für Nutzer, die eine Webseite verwalten, aber keine vollständigen Root-Rechte besitzen sollen.

Empfohlene Sicherheitsrichtlinien

Wo immer möglich, sollte permit statt deny verwendet werden. Sperrt man beispielsweise einen Befehl, könnten Nutzer einen alternativen Pfad oder eine Kopie des Befehls verwenden und so die Einschränkung umgehen.

In vielen Fällen ist doas sicherer als su, da kein Root-Passwort weitergegeben wird. Dadurch verhindert man, dass jemand das Passwort ändert, vergisst oder das System für andere unzugänglich macht. Jeder Nutzer verwendet sein eigenes Passwort, und alle Aktionen werden in /var/log/secure protokolliert.

Nützliche Tipps und Tricks

Wenn man beim Wechsel des Benutzers seine Umgebungsvariablen behalten möchte – z. B. den bevorzugten Editor – kann man die Option keepenv einsetzen. Beispielkonfiguration für mynewuser:

permit nopass keepenv mynewuser

Wenn das Überschreiben aller Variablen zu Problemen führt, kann man mit setenv gezielt bestimmte Variablen beibehalten. Beispiel: Behalte VISUAL und EDITOR:

permit nopass setenv { VISUAL EDITOR } mynewuser

Mit setenv kann man Umgebungsvariablen auch entfernen oder neue Werte zuweisen. Um z. B. VISUAL zu löschen und EDITOR auf vim zu setzen, verwendet man:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Wenn doas sich dein Passwort gemerkt hat und du das rückgängig machen willst, genügt folgender Befehl:

doas -L

Fazit

doas ist eine einfache, aber leistungsfähige Lösung für privilegierte Aufgaben unter OpenBSD. Es verzichtet auf überflüssige Komplexität und setzt auf Sicherheit und einfache Konfigurierbarkeit. Durch gezielten Einsatz von Optionen wie permit, keepenv und setenv lassen sich individuelle Zugriffsregeln realisieren, die sowohl sicher als auch flexibel sind. Mit seiner klaren Struktur und Protokollierung ist doas für viele Admins die bessere Wahl gegenüber klassischen Tools wie sudo.