9 jaar na de oprichting van de 1.8.x-tak nieuwe belangrijke release van het hulpprogramma , gebruikt om de uitvoering van opdrachten namens andere gebruikers te organiseren.
Belangrijkste wijzigingen:
- De structuur achtergrond proces , ontworpen voor gecentraliseerde logboekregistratie vanaf andere systemen. Bij het bouwen van sudo met de optie “--enable-openssl” worden gegevens verzonden via een gecodeerd communicatiekanaal (TLS). Het configureren van het verzenden van logs gebeurt met behulp van de log_servers optie in sudoers. Om ondersteuning voor het nieuwe mechanisme voor het verzenden van logboeken uit te schakelen, zijn de opties “--disable-log-server” en “--disable-log-client” toegevoegd. Om de interactie met de server te testen of bestaande logs te verzenden, wordt het hulpprogramma sudo_sendlog voorgesteld;
- kans voor sudo in Python, dat wordt ingeschakeld bij het bouwen met de optie “--enable-python”;
- Er is een nieuw type plug-in toegevoegd: "audit", waarnaar berichten over succesvolle en niet-succesvolle oproepen en over optredende fouten worden verzonden. Met een nieuw type plug-in kunt u uw eigen handlers voor loggen aansluiten die niet afhankelijk zijn van de standaardfunctionaliteit (een handler voor het schrijven van logs in JSON-formaat is bijvoorbeeld geïmplementeerd in de vorm van een plug-in);
- Er is een nieuw plug-intype toegevoegd, "goedkeuring", om extra controles uit te voeren na een succesvolle, op basis van regels gebaseerde toestemmingscontrole in sudoers. Verschillende plug-ins van dit type kunnen in de instellingen worden gespecificeerd, maar een bevestiging voor de bewerking wordt alleen gegeven als deze wordt goedgekeurd door alle plug-ins die in de instellingen worden vermeld;
- De opdracht "sudo -S" drukt nu alle verzoeken af naar standaarduitvoer of stderr, zonder toegang te krijgen tot het terminalbesturingsapparaat;
- In sudoers is het opgeven van Cmd_Alias nu ook acceptabel in plaats van Cmnd_Alias;
- Nieuwe pam_ruser- en pam_rhost-instellingen toegevoegd om het instellen van gebruikersnaam en hostwaarden in/uit te schakelen bij het opzetten van een sessie via PAM;
- Biedt de mogelijkheid om meer dan één SHA-2-hash op te geven op de door komma's gescheiden opdrachtregel. De SHA-2-hash kan ook in sudoers worden gebruikt in combinatie met het trefwoord "ALL" om opdrachten te definiëren die alleen kunnen worden uitgevoerd als de hash overeenkomt;
- sudo en sudo_logsrvd bieden de mogelijkheid om een extra logbestand in JSON-indeling aan te maken, waarin informatie wordt weergegeven over alle parameters van gelanceerde opdrachten, inclusief de hostnaam. Dit logboek wordt gebruikt door het hulpprogramma sudoreplay, dat nu de mogelijkheid heeft om opdrachten op hostnaam te filteren;
- De lijst met opdrachtregelargumenten die via de omgevingsvariabele SUDO_COMMAND worden doorgegeven, is nu ingekort tot 4096 tekens.
Bron: opennet.ru