מהדורת sudo 1.9.0

9 שנים לאחר הקמת סניף 1.8.x פורסם מהדורה משמעותית חדשה של כלי השירות sudo 1.9.0, משמש לארגון ביצוע פקודות בשם משתמשים אחרים.

שינויים מרכזיים:

• המבנה כלול תהליך רקע sudo_logsrvd, מיועד לרישום ריכוזי ממערכות אחרות. כאשר בונים sudo עם אפשרות "--enable-openssl", הנתונים מועברים על פני ערוץ תקשורת מוצפן (TLS). קביעת התצורה של שליחת היומנים נעשית באמצעות האפשרות log_servers ב- sudoers. כדי להשבית את התמיכה במנגנון שליחת היומנים החדש, נוספו האפשרויות "--disable-log-server" ו-"--disable-log-client". כדי לבדוק אינטראקציה עם השרת או לשלוח יומנים קיימים, מוצעת השירות sudo_sendlog;
• נוסף הזדמנות פיתוח תוספים עבור sudo ב-Python, המופעל בעת בנייה עם אפשרות "--enable-python";
• נוסף סוג חדש של תוסף - "ביקורת", אליו נשלחות הודעות על שיחות מוצלחות ולא מוצלחות, כמו גם שגיאות שמתרחשות. סוג חדש של תוסף מאפשר לך לחבר מטפלים משלך לרישום שאינם תלויים בפונקציונליות הסטנדרטית (לדוגמה, מטפל לכתיבת יומנים בפורמט JSON מיושם בצורה של תוסף);
• נוסף סוג תוסף חדש, "אישור", לביצוע בדיקות נוספות לאחר בדיקת הרשאות מבוססת כללים בסיסית מוצלחת ב- sudoers. ניתן לציין מספר תוספים מסוג זה בהגדרות, אך אישור הפעולה ניתן רק אם הוא מאושר על ידי כל התוספים הרשומים בהגדרות;
• הפקודה "sudo -S" מדפיסה כעת את כל הבקשות לפלט סטנדרטי או stderr, מבלי לגשת להתקן בקרת הטרמינל;
• ב-sudoers, במקום Cmnd_Alias, ציון Cmd_Alias ​​מקובל כעת;
• נוספו הגדרות pam_ruser ו-pam_rhost חדשות כדי להפעיל/להשבית את הגדרת שם המשתמש והערכים המארח בעת הגדרת הפעלה באמצעות PAM;
• מספק את היכולת לציין יותר מ-hash אחד של SHA-2 בשורת הפקודה המופרדת בפסיקים. ניתן להשתמש ב-Hash של SHA-2 גם ב-sudoers בשילוב עם מילת המפתח "ALL" כדי להגדיר פקודות שניתן להפעיל רק אם ה-hash תואם;
• sudo ו-sudo_logsrvd מספקים יצירה של קובץ יומן נוסף בפורמט JSON, המשקף מידע על כל הפרמטרים של הפקודות שהופעלו, כולל שם המארח. יומן זה משמש את כלי השירות sudoreplay, אשר כעת יש לו את היכולת לסנן פקודות לפי שם מארח;
• רשימת הארגומנטים של שורת הפקודה המועברים דרך משתנה הסביבה SUDO_COMMAND קטועה כעת ל-4096 תווים.

מקור: OpenNet.ru