Come installare e usare Doas su Linux -- TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster

51 51 visite 05/04/2026 Pubblicato il: 05/04/2026 16:00 07/04/2026 Aggiornato il: 07/04/2026 20:57 Tempo di lettura: 8 min

Cos’è Doas e perché usarlo

Doas è un tool per l’elevazione dei privilegi nato nel mondo OpenBSD e portato su Linux da diverse distribuzioni tramite pacchetti dedicati. Il suo obiettivo è chiaro: fare una cosa sola, farla bene e con meno superficie di rischio possibile rispetto a configurazioni più articolate. In pratica, permette a un utente autorizzato di eseguire comandi come root, ma con una sintassi più semplice e una configurazione molto più essenziale rispetto a sudo.

Per chi gestisce server, VPS, ambienti di test o postazioni condivise, Doas è interessante perché riduce la complessità amministrativa. Meno opzioni significa meno possibilità di errore. Questo non vuol dire che sia “più sicuro” in assoluto in ogni scenario: vuol dire che, se configurato bene, è più facile da auditare e da mantenere. Ed è proprio questo il punto forte in ambito sysadmin.

In molte installazioni Linux, sudo resta lo standard di fatto. Doas però è una valida alternativa quando si vuole un sistema minimale, leggibile e con regole semplici. È utile anche in contesti dove si desidera delegare pochi comandi specifici senza ereditare l’intera complessità di una policy molto ampia.

Quando ha senso scegliere Doas

Doas ha senso soprattutto quando cerchi:

una configurazione breve e facilmente verificabile;
accesso amministrativo limitato a uno o pochi utenti;
una gestione più lineare dei privilegi;
un ambiente dove vuoi ridurre dipendenze e complessità;
un’alternativa pratica a sudo su macchine personali, server piccoli o ambienti controllati.

Non è la scelta ideale se hai già una policy sudo molto estesa, se usi integrazioni avanzate con logging centralizzato o se hai bisogno di funzionalità molto specifiche legate a workflow già consolidati. In quei casi puoi comunque adottarlo gradualmente, ma conviene prima valutare l’impatto operativo.

Installazione di Doas su Linux

La disponibilità del pacchetto dipende dalla distribuzione. Nelle distro più comuni il nome del pacchetto è spesso doas oppure opendoas. Prima di installare, conviene verificare quale nome usa il repository della tua distribuzione.

Debian e Ubuntu

Su Debian e Ubuntu, in genere puoi cercare il pacchetto e installarlo così:

apt update
apt search doas
apt install doas

Se il pacchetto disponibile è opendoas, il comando equivalente diventa:

apt install opendoas

Dopo l’installazione, verifica che il binario sia presente:

doas -V

Se il comando restituisce informazioni sulla versione o sull’help, significa che il programma è correttamente installato.

AlmaLinux, Rocky Linux e CentOS

Su sistemi basati su RPM, il pacchetto può essere disponibile nei repository standard o in repository aggiuntivi. Prima controlla la presenza del pacchetto:

dnf search doas

Se trovi il pacchetto, installalo con:

dnf install doas

Se non è presente nei repository ufficiali, valuta un repository affidabile della tua distribuzione oppure la compilazione da sorgente solo se sai gestire aggiornamenti e manutenzione. In un ambiente di produzione, la soluzione pacchettizzata è sempre preferibile.

Arch Linux

Su Arch e derivate, la disponibilità è spesso diretta:

pacman -Ss doas
pacman -S doas

Dopo l’installazione, controlla che il comando sia raggiungibile:

doas -V

Come funziona la configurazione

La configurazione di Doas si basa su un file principale, normalmente /etc/doas.conf. Questo file contiene regole molto concise che definiscono chi può eseguire cosa e con quali privilegi. Il principio è semplice: autorizzare solo ciò che serve, senza aprire più del necessario.

La sintassi base è leggibile anche per chi non ama file lunghi e complessi. Una regola tipica indica utente o gruppo, comando consentito e opzioni aggiuntive. Il file deve essere leggibile da root e ben protetto, perché è il cuore della policy di elevazione privilegi.

Prima di modificare il file, fai sempre un backup. È una buona abitudine e ti salva da errori di sintassi o da blocchi operativi.

cp /etc/doas.conf /etc/doas.conf.bak

Se il file non esiste, puoi crearlo con un editor testuale come nano o vi. L’importante è partire con una configurazione minima e testarla subito.

Esempi pratici di configurazione

La regola più semplice concede privilegi root a un utente specifico. Ad esempio, per autorizzare l’utente mario a eseguire comandi come root:

permit mario as root

Questa riga consente a mario di usare doas per assumere privilegi amministrativi. Se vuoi richiedere la password dell’utente prima dell’esecuzione, la policy standard lo fa già nella maggior parte dei casi, ma il comportamento può variare leggermente a seconda della build e delle opzioni adottate dalla distribuzione.

Per consentire a un intero gruppo, ad esempio wheel, di usare Doas:

permit :wheel

La notazione con due punti indica un gruppo. È una scelta pratica quando vuoi gestire i privilegi per ruoli, non per singoli account.

Puoi anche limitare l’accesso a un comando specifico. Per esempio, consentire a un utente di riavviare solo un servizio:

permit mario as root cmd /bin/systemctl restart nginx

Questa è una delle configurazioni più utili in ambienti amministrativi: concedi un solo comando e non l’intera shell root. È una modalità più prudente quando vuoi separare bene i ruoli operativi.

Uso quotidiano di Doas

Una volta configurato, l’uso è molto semplice. Per eseguire un comando come root, anteponi doas:

doas apt update
sudo doas?

In realtà il secondo esempio non ha senso operativo: il comando corretto è sempre del tipo doas comando. Per esempio:

doas apt update

Se vuoi aprire una shell root, puoi usare:

doas sh

oppure, se disponibile e appropriato nel tuo ambiente:

doas -s

Per verificare che le regole siano applicate correttamente, esegui un comando innocuo prima di qualsiasi operazione critica. Un controllo semplice è:

doas id

Se la configurazione è corretta, il comando dovrebbe restituire l’identità di root o comunque mostrare l’elevazione prevista dalla policy.

Confronto con sudo

sudo e Doas risolvono lo stesso problema generale, ma con filosofie diverse. sudo è più ricco, più diffuso e adatto a scenari complessi. Doas è più corto, più lineare e più facile da leggere al volo. In un ambiente dove la semplicità è un vantaggio operativo, Doas può essere una scelta eccellente.

Un vantaggio concreto è la manutenzione. Un file come /etc/doas.conf è molto più rapido da controllare rispetto a policy più articolate. Se devi fare audit periodici o consegnare un server a un collega, una configurazione minimale è spesso più facile da comprendere e meno soggetta a errori.

Un limite importante è la portabilità delle abitudini. Molti amministratori conoscono già sudo e non tutti i sistemi hanno Doas installato di default. Per questo, quando lavori su ambienti eterogenei, conviene standardizzare per cluster o per famiglia di server, non mischiare strumenti senza una ragione chiara.

Buone pratiche di sicurezza

Doas va usato con la stessa disciplina con cui useresti qualsiasi strumento di elevazione privilegi. La regola d’oro è concedere il minimo indispensabile. Se un utente deve riavviare un servizio, non dargli accesso root completo. Se deve leggere log o gestire un singolo task, limita il permesso a quel compito.

Prima di ogni modifica significativa, conserva un backup della configurazione. Dopo la modifica, testa subito la regola con un comando innocuo. In caso di errore di sintassi o di policy troppo restrittiva, è molto più semplice correggere subito che ritrovarti bloccato su una macchina remota.

Se lavori su server esposti in produzione, combina Doas con pratiche base di hardening: aggiornamenti regolari, account nominativi, monitoraggio dei log e backup verificati. Doas non sostituisce queste misure; le completa.

Risoluzione dei problemi più comuni

Se doas non viene trovato, il problema è quasi sempre banale: pacchetto non installato o binario non nel PATH. Verifica con:

which doas
whereis doas

Se il comando è installato ma non funziona come previsto, controlla il file di configurazione e la sua sintassi. Un errore in /etc/doas.conf può impedire l’esecuzione corretta delle regole. In quel caso, rivedi il file e confrontalo con una versione minimale funzionante.

Se ricevi un rifiuto di autorizzazione, verifica che l’utente o il gruppo siano scritti correttamente nella regola e che il comando corrisponda esattamente al percorso richiesto. Con Doas, i dettagli contano molto: un path errato o un nome comando non corrispondente possono far fallire l’autorizzazione.

Se vuoi fare un test rapido della policy, usa un comando innocuo e reversibile. Per esempio, la lettura dell’identità o della data di sistema può aiutarti a capire subito se la regola è attiva senza fare danni.

Conclusione operativa

Doas è una scelta intelligente quando vuoi un sistema pulito, leggibile e facile da controllare. Si installa in pochi passaggi, si configura con poche righe e si adatta bene a chi preferisce una gestione minimale dei privilegi. In un mondo pieno di strumenti sovraccarichi, la sua forza sta proprio nella sobrietà.

Se devi partire da zero, il flusso corretto è semplice: installa il pacchetto, fai un backup del file di configurazione, scrivi una regola minima, testa con un comando innocuo e solo dopo amplia i permessi se serve davvero. È un approccio pratico, sicuro e adatto sia ai server piccoli sia a chi vuole standardizzare la gestione amministrativa con meno attrito.

Regola pratica: prima autorizza il minimo indispensabile, poi verifica, poi eventualmente estendi. Con Doas, la semplicità è un vantaggio solo se la usi con disciplina.

Se stai migrando da sudo a Doas, il consiglio migliore è non fare il salto in blocco su macchine critiche. Prova prima su un host secondario o in manutenzione programmata, valida le regole e solo dopo applica la stessa logica agli ambienti sensibili.