ProHoster > Blog > internetové zprávy > vydání sudo 1.9.0

vydání sudo 1.9.0

9 let po založení pobočky 1.8.x publikováno nové významné vydání nástroje sudo 1.9.0, který se používá k organizaci provádění příkazů jménem ostatních uživatelů.

Klíčové změny:

  • Struktura v ceně proces na pozadí sudo_logsrvd, určený pro centralizované protokolování z jiných systémů. Při vytváření sudo s možností „--enable-openssl“ jsou data přenášena přes šifrovaný komunikační kanál (TLS). Konfigurace odesílání logů se provádí pomocí volby log_servers v sudoers. Chcete-li zakázat podporu pro nový mechanismus odesílání protokolů, byly přidány možnosti „--disable-log-server“ a „--disable-log-client“. Pro testování interakce se serverem nebo odesílání existujících logů je navržen nástroj sudo_sendlog;
  • Přidal příležitost vývoj pluginu pro sudo v Pythonu, které je povoleno při sestavování s volbou „--enable-python“;
  • Byl přidán nový typ pluginu - „audit“, do kterého se zasílají zprávy o úspěšných a neúspěšných hovorech a také o chybách, které se vyskytnou. Nový typ pluginu umožňuje připojit vlastní handlery pro logování, které nejsou závislé na standardní funkcionalitě (např. handler pro zápis logů ve formátu JSON je implementován ve formě pluginu);
  • Přidán nový typ zásuvného modulu, „schválení“, pro provádění dalších kontrol po úspěšné základní kontrole oprávnění na základě pravidel v sudoers. V nastavení lze zadat několik pluginů tohoto typu, ale potvrzení operace je vydáno pouze v případě, že je schváleno všemi pluginy uvedenými v nastavení;
  • Příkaz "sudo -S" nyní vytiskne všechny požadavky na standardní výstup nebo stderr, bez přístupu k ovládacímu zařízení terminálu;
  • V sudoers je nyní místo Cmnd_Alias ​​také přijatelné zadání Cmd_Alias ​​​​;
  • Přidána nová nastavení pam_ruser a pam_rhost pro povolení/zakázaní nastavení uživatelských jmen a hodnot hostitele při nastavování relace přes PAM;
  • Poskytuje možnost zadat více než jeden hash SHA-2 na příkazovém řádku odděleném čárkami. Hash SHA-2 lze také použít v sudoers ve spojení s klíčovým slovem "ALL" k definování příkazů, které lze spustit pouze v případě, že se hash shoduje;
  • sudo a sudo_logsrvd poskytují vytvoření dalšího souboru protokolu ve formátu JSON, který odráží informace o všech parametrech spouštěných příkazů, včetně názvu hostitele. Tento protokol používá obslužný program sudoreplay, který má nyní možnost filtrovat příkazy podle názvu hostitele;
  • Seznam argumentů příkazového řádku předávaných přes proměnnou prostředí SUDO_COMMAND je nyní zkrácen na 4096 znaků.

Zdroj: opennet.ru

Přidat komentář