ProHoster > Blog > wiadomości internetowe > Wersja sudo 1.9.0

Wersja sudo 1.9.0

9 lat po utworzeniu oddziału 1.8.x opublikowany nowa, znacząca wersja narzędzia sudo 1.9.0, służące do organizowania wykonywania poleceń w imieniu innych użytkowników.

Kluczowe zmiany:

  • Struktura dołączony proces w tle sudo_logsrvd, przeznaczony do scentralizowanego logowania z innych systemów. Podczas budowania Sudo z opcją „--enable-openssl” dane są przesyłane zaszyfrowanym kanałem komunikacyjnym (TLS). Konfigurowanie wysyłania logów odbywa się za pomocą opcji log_servers w sudoers. Aby wyłączyć obsługę nowego mechanizmu wysyłania logów, dodano opcje „--disable-log-server” i „--disable-log-client”. Aby przetestować interakcję z serwerem lub wysłać istniejące logi, zaproponowano narzędzie sudo_sendlog;
  • Dodany okazja rozwój wtyczki dla sudo w Pythonie, które jest włączane podczas budowania za pomocą opcji „--enable-python”;
  • Dodano nowy typ wtyczki - „audyt”, do którego wysyłane są komunikaty o udanych i nieudanych połączeniach oraz występujących błędach. Nowy typ wtyczki pozwala na podłączenie własnych handlerów do logowania, które nie zależą od standardowej funkcjonalności (przykładowo handler do zapisywania logów w formacie JSON jest zaimplementowany w formie wtyczki);
  • Dodano nowy typ wtyczki „zatwierdzenie”, aby przeprowadzić dodatkowe kontrole po pomyślnym sprawdzeniu podstawowych uprawnień opartych na regułach w sudoers. W ustawieniach można określić kilka wtyczek tego typu, jednak potwierdzenie operacji zostanie wydane tylko wtedy, gdy zostanie ona zatwierdzona przez wszystkie wtyczki wymienione w ustawieniach;
  • Polecenie „sudo -S” wypisuje teraz wszystkie żądania na standardowe wyjście lub stderr, bez uzyskiwania dostępu do urządzenia sterującego terminalem;
  • W sudoerach zamiast Cmnd_Alias ​​dopuszczalne jest teraz także określenie Cmd_Alias;
  • Dodano nowe ustawienia pam_ruser i pam_rhost, aby włączyć/wyłączyć ustawianie wartości nazwy użytkownika i hosta podczas konfigurowania sesji przez PAM;
  • Zapewnia możliwość określenia więcej niż jednego skrótu SHA-2 w wierszu poleceń oddzielonych przecinkami. Hash SHA-2 może być również używany w sudoerach w połączeniu ze słowem kluczowym „ALL” w celu zdefiniowania poleceń, które można uruchomić tylko wtedy, gdy skrót jest zgodny;
  • sudo i sudo_logsrvd umożliwiają utworzenie dodatkowego pliku dziennika w formacie JSON, odzwierciedlającego informacje o wszystkich parametrach uruchomionych poleceń, w tym nazwę hosta. Ten dziennik jest używany przez narzędzie sudoreplay, które ma teraz możliwość filtrowania poleceń według nazwy hosta;
  • Lista argumentów wiersza poleceń przekazywana przez zmienną środowiskową SUDO_COMMAND jest teraz obcięta do 4096 znaków.

Źródło: opennet.ru

Dodaj komentarz