9 Jahre nach der Gründung des 1.8.x-Zweigs neue bedeutende Version des Dienstprogramms , wird verwendet, um die Ausführung von Befehlen im Namen anderer Benutzer zu organisieren.
Wichtige Änderungen:
- Die Zusammensetzung Hintergrundprozess , konzipiert für die zentrale Protokollierung von anderen Systemen. Beim Erstellen von sudo mit der Option „--enable-openssl“ werden Daten über einen verschlüsselten Kommunikationskanal (TLS) übertragen. Die Konfiguration des Protokollversands erfolgt über die Option log_servers in sudoers. Um die Unterstützung für den neuen Mechanismus zum Senden von Protokollen zu deaktivieren, wurden die Optionen „--disable-log-server“ und „--disable-log-client“ hinzugefügt. Um die Interaktion mit dem Server zu testen oder vorhandene Protokolle zu senden, wird das Dienstprogramm sudo_sendlog vorgeschlagen.
- Gelegenheit für sudo in Python, das beim Erstellen mit der Option „--enable-python“ aktiviert wird;
- Es wurde ein neuer Plugin-Typ hinzugefügt – „Audit“, an den Meldungen über erfolgreiche und erfolglose Aufrufe sowie aufgetretene Fehler gesendet werden. Mit einem neuen Plugin-Typ können Sie eigene Handler für die Protokollierung anschließen, die nicht von der Standardfunktionalität abhängen (z. B. wird ein Handler zum Schreiben von Protokollen im JSON-Format in Form eines Plugins implementiert);
- Ein neuer Plugin-Typ „Genehmigung“ wurde hinzugefügt, um nach einer erfolgreichen grundlegenden regelbasierten Berechtigungsprüfung in Sudoers zusätzliche Prüfungen durchzuführen. In den Einstellungen können mehrere Plugins dieses Typs angegeben werden, eine Bestätigung für den Vorgang erfolgt jedoch nur, wenn er von allen in den Einstellungen aufgeführten Plugins genehmigt wird;
- Der Befehl „sudo -S“ druckt jetzt alle Anfragen auf die Standardausgabe oder stderr, ohne auf das Terminalsteuergerät zuzugreifen;
- In sudoers ist anstelle von Cmnd_Alias nun auch die Angabe von Cmd_Alias zulässig;
- Neue pam_ruser- und pam_rhost-Einstellungen hinzugefügt, um das Festlegen von Benutzernamen und Hostwerten beim Einrichten einer Sitzung über PAM zu aktivieren/deaktivieren;
- Bietet die Möglichkeit, mehr als einen SHA-2-Hash in der durch Kommas getrennten Befehlszeile anzugeben. Der SHA-2-Hash kann in Sudoers auch in Verbindung mit dem Schlüsselwort „ALL“ verwendet werden, um Befehle zu definieren, die nur ausgeführt werden können, wenn der Hash übereinstimmt;
- sudo und sudo_logsrvd ermöglichen die Erstellung einer zusätzlichen Protokolldatei im JSON-Format, die Informationen über alle Parameter gestarteter Befehle, einschließlich des Hostnamens, widerspiegelt. Dieses Protokoll wird vom Dienstprogramm sudoreplay verwendet, das nun die Möglichkeit hat, Befehle nach Hostnamen zu filtern;
- Die Liste der Befehlszeilenargumente, die über die Umgebungsvariable SUDO_COMMAND übergeben werden, ist jetzt auf 4096 Zeichen gekürzt.
Source: opennet.ru