9.x ブランチの形成から 1.8 年後 ユーティリティの新しい重要なリリース 、他のユーザーに代わってコマンドの実行を組織するために使用されます。
主な変更点:
- 構造 バックグラウンドプロセス 、他のシステムからの集中ロギング用に設計されています。 「--enable-openssl」オプションを使用して sudo をビルドすると、データは暗号化された通信チャネル (TLS) 経由で送信されます。 ログの送信の設定は、sudoers の log_servers オプションを使用して行われます。 新しいログ送信メカニズムのサポートを無効にするために、「--disable-log-server」および「--disable-log-client」オプションが追加されました。 サーバーとの対話をテストするか、既存のログを送信するために、 sudo_sendlog ユーティリティが提案されています。
- 機会 Python の sudo の場合、「--enable-python」オプションを使用してビルドするときに有効になります。
- 新しいタイプのプラグイン「audit」が追加されました。これには、成功した呼び出しと失敗した呼び出し、および発生したエラーに関するメッセージが送信されます。 新しいタイプのプラグインを使用すると、標準機能に依存しないログ用の独自のハンドラーを接続できます (たとえば、JSON 形式でログを書き込むためのハンドラーはプラグインの形式で実装されます)。
- sudoers での基本的なルールベースの権限チェックが成功した後に追加のチェックを実行するための、新しいプラグイン タイプ「approval」が追加されました。 このタイプのいくつかのプラグインを設定で指定できますが、操作の確認は、設定にリストされているすべてのプラグインによって承認された場合にのみ発行されます。
- 「sudo -S」コマンドは、端末制御デバイスにアクセスせずに、すべてのリクエストを標準出力または標準エラー出力に出力するようになりました。
- sudoers では、Cmnd_Alias の代わりに Cmd_Alias を指定することも受け入れられるようになりました。
- PAM 経由でセッションをセットアップするときにユーザー名とホストの値の設定を有効/無効にする新しい pam_ruser および pam_rhost 設定を追加しました。
- カンマ区切りのコマンド ラインで複数の SHA-2 ハッシュを指定する機能を提供します。 SHA-2 ハッシュは、sudoers で「ALL」キーワードと組み合わせて使用して、ハッシュが一致する場合にのみ実行できるコマンドを定義することもできます。
- sudo および sudo_logsrvd は、ホスト名を含む、起動されたコマンドのすべてのパラメーターに関する情報を反映する、JSON 形式で追加のログ ファイルを作成します。 このログは sudoreplay ユーティリティによって使用され、ホスト名でコマンドをフィルタリングできるようになりました。
- SUDO_COMMAND 環境変数を介して渡されるコマンド ライン引数のリストが 4096 文字に切り詰められるようになりました。
出所: オープンネット.ru