9 anni dopo la formazione del ramo 1.8.x nuova versione significativa dell'utilità , utilizzato per organizzare l'esecuzione di comandi per conto di altri utenti.
Modifiche principali:
- La struttura processo in background , progettato per la registrazione centralizzata da altri sistemi. Quando si crea sudo con l'opzione “--enable-openssl”, i dati vengono trasmessi su un canale di comunicazione crittografato (TLS). La configurazione dell'invio dei log viene eseguita utilizzando l'opzione log_servers in sudoers. Per disabilitare il supporto per il nuovo meccanismo di invio dei log, sono state aggiunte le opzioni “--disable-log-server” e “--disable-log-client”. Per testare l'interazione con il server o inviare log esistenti viene proposta l'utility sudo_sendlog;
- opportunità per sudo in Python, che è abilitato durante la compilazione con l'opzione “--enable-python”;
- È stato aggiunto un nuovo tipo di plug-in: "audit", al quale vengono inviati messaggi sulle chiamate riuscite e non riuscite, nonché sugli errori che si verificano. Un nuovo tipo di plugin consente di connettere i propri gestori per il logging che non dipendono dalla funzionalità standard (ad esempio, un gestore per la scrittura dei log in formato JSON è implementato sotto forma di plugin);
- Aggiunto un nuovo tipo di plugin, "approvazione", per eseguire controlli aggiuntivi dopo un controllo di autorizzazione basato su regole di base riuscito in sudoers. È possibile specificare più plugin di questo tipo nelle impostazioni, ma la conferma dell'operazione viene data solo se è approvata da tutti i plugin elencati nelle impostazioni;
- Il comando "sudo -S" ora stampa tutte le richieste sullo standard output o stderr, senza accedere al dispositivo di controllo del terminale;
- Nei sudoer, invece di Cmnd_Alias, ora è accettabile anche specificare Cmd_Alias;
- Aggiunte nuove impostazioni pam_ruser e pam_rhost per abilitare/disabilitare l'impostazione del nome utente e dei valori host durante l'impostazione di una sessione tramite PAM;
- Fornisce la possibilità di specificare più di un hash SHA-2 sulla riga di comando separata da virgole. L'hash SHA-2 può essere utilizzato anche nei sudoer insieme alla parola chiave "ALL" per definire comandi che possono essere eseguiti solo se l'hash corrisponde;
- sudo e sudo_logsrvd forniscono la creazione di un file di registro aggiuntivo in formato JSON, riflettendo le informazioni su tutti i parametri dei comandi lanciati, incluso il nome host. Questo registro viene utilizzato dall'utilità sudoreplay, che ora ha la capacità di filtrare i comandi in base al nome host;
- L'elenco degli argomenti della riga di comando passati tramite la variabile di ambiente SUDO_COMMAND è ora troncato a 4096 caratteri.
Fonte: opennet.ru