Я правильно понимаю, что если в doas.conf написано  permit nopass vm-owner as root cmd pkill args -9 -xf "vmd: vm-name" , то если скопировать редактор ed в отдельную директорию так, чтобы сам файл назывался теперь pkill, а затем поменять переменную PATH, то можно будет запустить от рута редактор, хотя права давали только на pkill ?

Звучит забористо, а вы проверяли уже?

Проверил. Не вышло. Я просто вычитал в книжке Эви Неметц утверждение о том, что не стоит пытаться с помощью sudo ограничивать пользователю все права, а потом на отдельные команды рут права отдавать, такой вот контроль доступа, что он не нужен, потому что можно просто заменить один исполняемый файл на другой, дупустим tcpdump на текстовой редактор.
Вот я и задумался про то можно ли подобное в опёнке с doas провернуть.
Может быть кто-то помнил в старых виндах была такая уязвимость, когда один из accessibility экзешников доступных с самого логина заменяли на cmd.exe После этого можно было открыть виндовую консоль и, поменяв пароль, залогиниться. Вот о чём-то таком подумал

Самое простое посмотреть ktrace того, что именно и по какому пути вызывает doas... Ну, или в исходники

тут два момента: первый, что тебя может послать проверка аргументов, второй что дуэз может использовать только свои пути

про accessibilty экзешники не знаю, но в школьные годы я так получил логин заменив скринсейвер на cmd.exe

Лучше указывать абсолютный путь к pkill.

Да, вот я об этом

В смысле в конфиге doas или в командной строке ?

в конфиге, я думаю.

В конфиге doas.

вот тут doas ставит PATH в зашитый

с другой стороны, там в 438й загружается вся фигня пользователя

с третьей стороны, оно в 464й снова затирается из safepath :)

Если кого-то всё ещё интересует cde под опёнком, то у них в рассылке интересные письма о зависимости от ksh93 и о поддержке EWMH

Атака оч древняя, даже в те времена решалась запуском по полному пути)

Так вот кто Пентагон взломал :-)

Так и сейчас можно

Только через установочник. Так на школьном ноуте залогинился под админом.