9 anos após a formação da filial 1.8.x novo lançamento significativo do utilitário , usado para organizar a execução de comandos em nome de outros usuários.
Principais mudanças:
- a composição processo em segundo plano , projetado para registro centralizado de outros sistemas. Ao construir o sudo com a opção “--enable-openssl”, os dados são transmitidos através de um canal de comunicação criptografado (TLS). A configuração do envio de logs é feita através da opção log_servers no sudoers. Para desabilitar o suporte ao novo mecanismo de envio de log, foram adicionadas as opções “--disable-log-server” e “--disable-log-client”. Para testar a interação com o servidor ou enviar logs existentes, é proposto o utilitário sudo_sendlog;
- oportunidade para sudo em Python, que é habilitado ao construir com a opção “--enable-python”;
- Foi adicionado um novo tipo de plugin - “auditoria”, para o qual são enviadas mensagens sobre chamadas bem-sucedidas e malsucedidas, bem como sobre erros ocorridos. Um novo tipo de plugin permite que você conecte seus próprios manipuladores para log que não dependem da funcionalidade padrão (por exemplo, um manipulador para escrever logs no formato JSON é implementado como um plugin);
- Adicionado um novo tipo de plug-in, "aprovação", para realizar verificações adicionais após uma verificação de permissão baseada em regras básicas bem-sucedida em sudoers. Vários plugins deste tipo podem ser especificados nas configurações, mas a confirmação da operação só é emitida se for aprovada por todos os plugins listados nas configurações;
- O comando “sudo -S” agora imprime todas as solicitações na saída padrão ou stderr, sem acessar o dispositivo de controle do terminal;
- Em sudoers, em vez de Cmnd_Alias, especificar Cmd_Alias agora também é aceitável;
- Adicionadas novas configurações pam_ruser e pam_rhost para ativar/desativar a configuração de nome de usuário e valores de host ao configurar uma sessão via PAM;
- Fornece a capacidade de especificar mais de um hash SHA-2 na linha de comando separada por vírgula. O hash SHA-2 também pode ser usado em sudoers em conjunto com a palavra-chave "ALL" para definir comandos que só podem ser executados se o hash corresponder;
- sudo e sudo_logsrvd fornecem a criação de um arquivo de log adicional no formato JSON, refletindo informações sobre todos os parâmetros dos comandos iniciados, incluindo o nome do host. Este log é usado pelo utilitário sudoreplay, que agora tem a capacidade de filtrar comandos por nome de host;
- A lista de argumentos de linha de comando passados pela variável de ambiente SUDO_COMMAND agora está truncada para 4096 caracteres.
Fonte: opennet.ru