9 años después de la formación de la rama 1.8.x nuevo lanzamiento significativo de la utilidad , utilizado para organizar la ejecución de comandos en nombre de otros usuarios.
Cambios clave:
- La composición proceso en segundo plano , diseñado para el registro centralizado desde otros sistemas. Al crear sudo con la opción “--enable-openssl”, los datos se transmiten a través de un canal de comunicación cifrado (TLS). La configuración del envío de registros se realiza mediante la opción log_servers en sudoers. Para deshabilitar la compatibilidad con el nuevo mecanismo de envío de registros, se agregaron las opciones “--disable-log-server” y “--disable-log-client”. Para probar la interacción con el servidor o enviar registros existentes, se propone la utilidad sudo_sendlog;
- oportunidad para sudo en Python, que se habilita al compilar con la opción “--enable-python”;
- Se ha agregado un nuevo tipo de complemento: "auditoría", al que se envían mensajes sobre llamadas exitosas y fallidas, así como sobre los errores que ocurren. Un nuevo tipo de complemento le permite conectar sus propios controladores de registro que no dependen de la funcionalidad estándar (por ejemplo, un controlador para escribir registros en formato JSON se implementa en forma de complemento);
- Se agregó un nuevo tipo de complemento, "aprobación", para realizar comprobaciones adicionales después de una verificación de permisos básica basada en reglas exitosa en sudoers. Se pueden especificar varios complementos de este tipo en la configuración, pero la confirmación de la operación se emite solo si está aprobada por todos los complementos enumerados en la configuración;
- El comando "sudo -S" ahora imprime todas las solicitudes en la salida estándar o stderr, sin acceder al dispositivo de control del terminal;
- En sudoers, en lugar de Cmnd_Alias, ahora también es aceptable especificar Cmd_Alias ;
- Se agregaron nuevas configuraciones pam_ruser y pam_rhost para habilitar/deshabilitar la configuración de nombres de usuario y valores de host al configurar una sesión a través de PAM;
- Proporciona la capacidad de especificar más de un hash SHA-2 en la línea de comando separada por comas. El hash SHA-2 también se puede utilizar en sudoers junto con la palabra clave "ALL" para definir comandos que sólo se pueden ejecutar si el hash coincide;
- sudo y sudo_logsrvd permiten la creación de un archivo de registro adicional en formato JSON, que refleja información sobre todos los parámetros de los comandos ejecutados, incluido el nombre del host. Este registro lo utiliza la utilidad sudoreplay, que ahora tiene la capacidad de filtrar comandos por nombre de host;
- La lista de argumentos de la línea de comando pasados a través de la variable de entorno SUDO_COMMAND ahora está truncada a 4096 caracteres.
Fuente: opennet.ru