9 ani de la formarea ramurii 1.8.x noua versiune semnificativă a utilitarului , folosit pentru a organiza executarea comenzilor în numele altor utilizatori.
Schimbări cheie:
- Structura proces de fundal , conceput pentru înregistrarea centralizată de la alte sisteme. Când construiți sudo cu opțiunea „--enable-openssl”, datele sunt transmise printr-un canal de comunicare criptat (TLS). Configurarea trimiterii jurnalelor se face folosind opțiunea log_servers din sudoers. Pentru a dezactiva suportul pentru noul mecanism de trimitere a jurnalelor, au fost adăugate opțiunile „--disable-log-server” și „--disable-log-client”. Pentru a testa interacțiunea cu serverul sau pentru a trimite jurnalele existente, este propus utilitarul sudo_sendlog;
- oportunitate pentru sudo în Python, care este activat la construirea cu opțiunea „--enable-python”;
- A fost adăugat un nou tip de plugin - „audit”, la care sunt trimise mesaje despre apelurile reușite și nereușite, precum și erorile care apar. Un nou tip de plugin vă permite să vă conectați propriile handlere pentru înregistrare care nu depind de funcționalitatea standard (de exemplu, un handler pentru înregistrarea jurnalelor în format JSON este implementat sub forma unui plugin);
- S-a adăugat un nou tip de plugin, „aprobare”, pentru a efectua verificări suplimentare după o verificare reușită a permisiunii bazate pe reguli de bază în sudoers. Mai multe plugin-uri de acest tip pot fi specificate în setări, dar confirmarea pentru funcționare se emite doar dacă este aprobată de toate pluginurile listate în setări;
- Comanda „sudo -S” tipărește acum toate cererile către ieșirea standard sau stderr, fără a accesa dispozitivul de control al terminalului;
- În sudoers, în loc de Cmnd_Alias, specificarea Cmd_Alias este acum acceptabilă;
- S-au adăugat noi setări pam_ruser și pam_rhost pentru a activa/dezactiva setarea numelui de utilizator și a valorilor gazdei atunci când configurați o sesiune prin PAM;
- Oferă posibilitatea de a specifica mai mult de un hash SHA-2 pe linia de comandă separată prin virgulă. Hash-ul SHA-2 poate fi folosit și în sudoers împreună cu cuvântul cheie „ALL” pentru a defini comenzi care pot fi executate numai dacă hash-ul se potrivește;
- sudo și sudo_logsrvd oferă crearea unui fișier jurnal suplimentar în format JSON, care reflectă informații despre toți parametrii comenzilor lansate, inclusiv numele gazdei. Acest jurnal este folosit de utilitarul sudoreplay, care are acum capacitatea de a filtra comenzile după numele gazdei;
- Lista argumentelor liniei de comandă transmise prin variabila de mediu SUDO_COMMAND este acum trunchiată la 4096 de caractere.
Sursa: opennet.ru