9 χρόνια μετά τη συγκρότηση του κλάδου 1.8.x νέα σημαντική έκδοση του βοηθητικού προγράμματος , χρησιμοποιείται για την οργάνωση της εκτέλεσης εντολών για λογαριασμό άλλων χρηστών.
Βασικές αλλαγές:
- Η δομή διαδικασία φόντου , σχεδιασμένο για κεντρική καταγραφή από άλλα συστήματα. Κατά τη δημιουργία sudo με την επιλογή «--enable-openssl», τα δεδομένα μεταδίδονται μέσω ενός κρυπτογραφημένου καναλιού επικοινωνίας (TLS). Η διαμόρφωση της αποστολής των αρχείων καταγραφής γίνεται χρησιμοποιώντας την επιλογή log_servers στα sudoers. Για να απενεργοποιήσετε την υποστήριξη για τον νέο μηχανισμό αποστολής αρχείων καταγραφής, έχουν προστεθεί οι επιλογές "--disable-log-server" και "-disable-log-client". Για να ελέγξετε την αλληλεπίδραση με τον διακομιστή ή να στείλετε υπάρχοντα αρχεία καταγραφής, προτείνεται το βοηθητικό πρόγραμμα sudo_sendlog.
- ευκαιρία για sudo στην Python, το οποίο είναι ενεργοποιημένο κατά τη δημιουργία με την επιλογή "--enable-python".
- Προστέθηκε ένας νέος τύπος προσθήκης - "έλεγχος", στον οποίο αποστέλλονται μηνύματα σχετικά με επιτυχείς και αποτυχημένες κλήσεις, καθώς και σφάλματα που προκύπτουν. Ένας νέος τύπος προσθήκης σάς επιτρέπει να συνδέσετε τους δικούς σας χειριστές καταγραφής που δεν εξαρτώνται από την τυπική λειτουργικότητα (για παράδειγμα, ένας χειριστής για τη σύνταξη αρχείων καταγραφής σε μορφή JSON υλοποιείται με τη μορφή προσθήκης).
- Προστέθηκε ένας νέος τύπος προσθήκης, "έγκριση", για την εκτέλεση πρόσθετων ελέγχων μετά από έναν επιτυχημένο έλεγχο βασικών αδειών βάσει κανόνων στα sudoers. Πολλές προσθήκες αυτού του τύπου μπορούν να καθοριστούν στις ρυθμίσεις, αλλά η επιβεβαίωση για τη λειτουργία εκδίδεται μόνο εάν έχει εγκριθεί από όλα τα πρόσθετα που αναφέρονται στις ρυθμίσεις.
- Η εντολή "sudo -S" εκτυπώνει τώρα όλα τα αιτήματα σε τυπική έξοδο ή stderr, χωρίς πρόσβαση στη συσκευή ελέγχου τερματικού.
- Σε sudoers, αντί για Cmnd_Alias, ο καθορισμός Cmd_Alias είναι πλέον επίσης αποδεκτός.
- Προστέθηκαν νέες ρυθμίσεις pam_ruser και pam_rhost για ενεργοποίηση/απενεργοποίηση της ρύθμισης των τιμών ονόματος χρήστη και κεντρικού υπολογιστή κατά τη ρύθμιση μιας περιόδου σύνδεσης μέσω PAM.
- Παρέχει τη δυνατότητα καθορισμού περισσότερων του ενός κατακερματισμού SHA-2 στη γραμμή εντολών διαχωρισμένων με κόμματα. Ο κατακερματισμός SHA-2 μπορεί επίσης να χρησιμοποιηθεί σε sudoers σε συνδυασμό με τη λέξη-κλειδί "ALL" για τον καθορισμό εντολών που μπορούν να εκτελεστούν μόνο εάν ο κατακερματισμός ταιριάζει.
- Το sudo και το sudo_logsrvd παρέχουν τη δημιουργία ενός πρόσθετου αρχείου καταγραφής σε μορφή JSON, που αντικατοπτρίζει πληροφορίες σχετικά με όλες τις παραμέτρους των εντολών που εκκινήθηκαν, συμπεριλαμβανομένου του ονόματος του κεντρικού υπολογιστή. Αυτό το αρχείο καταγραφής χρησιμοποιείται από το βοηθητικό πρόγραμμα sudoreplay, το οποίο έχει πλέον τη δυνατότητα να φιλτράρει εντολές με βάση το όνομα του κεντρικού υπολογιστή.
- Η λίστα των ορισμάτων της γραμμής εντολών που διαβιβάζονται μέσω της μεταβλητής περιβάλλοντος SUDO_COMMAND έχει πλέον περικοπεί σε 4096 χαρακτήρες.
Πηγή: opennet.ru