9 ans après la création de la branche 1.8.x nouvelle version importante de l'utilitaire , utilisé pour organiser l'exécution de commandes pour le compte d'autres utilisateurs.
Changements clés :
- la composition processus en arrière-plan , conçu pour la journalisation centralisée à partir d’autres systèmes. Lors de la construction de sudo avec l'option « --enable-openssl », les données sont transmises via un canal de communication crypté (TLS). La configuration de l'envoi des logs se fait à l'aide de l'option log_servers dans sudoers. Pour désactiver la prise en charge du nouveau mécanisme d'envoi de journaux, les options « --disable-log-server » et « --disable-log-client » ont été ajoutées. Pour tester l'interaction avec le serveur ou envoyer les logs existants, l'utilitaire sudo_sendlog est proposé ;
- occasion pour sudo en Python, qui est activé lors de la construction avec l'option « --enable-python » ;
- Un nouveau type de plugin a été ajouté - "audit", auquel sont envoyés des messages sur les appels réussis et infructueux, ainsi que sur les erreurs qui se produisent. Un nouveau type de plugin vous permet de connecter vos propres gestionnaires de journalisation qui ne dépendent pas de la fonctionnalité standard (par exemple, un gestionnaire d'enregistrement des journaux au format JSON est implémenté sous la forme d'un plugin) ;
- Ajout d'un nouveau type de plugin, "approbation", pour effectuer des vérifications supplémentaires après une vérification réussie des autorisations basées sur des règles de base dans sudoers. Plusieurs plugins de ce type peuvent être spécifiés dans les paramètres, mais la confirmation de l'opération n'est émise que si elle est approuvée par tous les plugins répertoriés dans les paramètres ;
- La commande "sudo -S" imprime désormais toutes les requêtes sur la sortie standard ou stderr, sans accéder au périphérique de contrôle du terminal ;
- Dans les sudoers, au lieu de Cmnd_Alias, spécifier Cmd_Alias est désormais également acceptable ;
- Ajout de nouveaux paramètres pam_ruser et pam_rhost pour activer/désactiver la configuration du nom d'utilisateur et des valeurs d'hôte lors de la configuration d'une session via PAM ;
- Offre la possibilité de spécifier plusieurs hachages SHA-2 sur la ligne de commande séparée par des virgules. Le hachage SHA-2 peut également être utilisé dans les sudoers en conjonction avec le mot-clé « ALL » pour définir des commandes qui ne peuvent être exécutées que si le hachage correspond ;
- sudo et sudo_logsrvd prévoient la création d'un fichier journal supplémentaire au format JSON, reflétant des informations sur tous les paramètres des commandes lancées, y compris le nom d'hôte. Ce journal est utilisé par l'utilitaire sudoreplay, qui a désormais la possibilité de filtrer les commandes par nom d'hôte ;
- La liste des arguments de ligne de commande transmis via la variable d'environnement SUDO_COMMAND est désormais tronquée à 4096 caractères.
Source: opennet.ru