ProHoster > Blog > internetové správy > vydanie sudo 1.9.0

vydanie sudo 1.9.0

9 rokov po vzniku pobočky 1.8.x zverejnená nové významné vydanie nástroja sudo 1.9.0, ktorý sa používa na organizáciu vykonávania príkazov v mene iných používateľov.

Kľúčové zmeny:

  • Štruktúra zapnuté proces na pozadí sudo_logsrvd, určený na centralizované prihlasovanie z iných systémov. Pri vytváraní sudo s možnosťou „--enable-openssl“ sa údaje prenášajú cez šifrovaný komunikačný kanál (TLS). Konfigurácia odosielania protokolov sa vykonáva pomocou voľby log_servers v sudoers. Na deaktiváciu podpory pre nový mechanizmus odosielania protokolov boli pridané možnosti „--disable-log-server“ a „--disable-log-client“. Na testovanie interakcie so serverom alebo odosielanie existujúcich protokolov sa navrhuje nástroj sudo_sendlog;
  • Pridané príležitosť vývoj pluginov pre sudo v Pythone, ktorý je povolený pri zostavovaní s voľbou „--enable-python“;
  • Pribudol nový typ doplnku – „audit“, do ktorého sa odosielajú správy o úspešných a neúspešných hovoroch, ako aj o chybách, ktoré sa vyskytnú. Nový typ pluginu umožňuje pripojiť vlastné handlery na logovanie, ktoré nezávisia od štandardnej funkcionality (napr. handler na zapisovanie logov vo formáte JSON je implementovaný vo forme pluginu);
  • Pridaný nový typ doplnku, „schválenie“, na vykonanie dodatočných kontrol po úspešnej základnej kontrole povolení na základe pravidiel v sudoers. V nastaveniach je možné špecifikovať niekoľko pluginov tohto typu, ale potvrdenie pre operáciu sa vydáva iba vtedy, ak je schválené všetkými pluginmi uvedenými v nastaveniach;
  • Príkaz "sudo -S" teraz vypíše všetky požiadavky na štandardný výstup alebo stderr bez prístupu k ovládaciemu zariadeniu terminálu;
  • V sudoers je teraz namiesto Cmnd_Alias ​​prijateľné aj zadanie Cmd_Alias ​​​​;
  • Pridané nové nastavenia pam_ruser a pam_rhost na povolenie/zakázanie nastavenia používateľského mena a hodnôt hostiteľa pri nastavovaní relácie cez PAM;
  • Poskytuje možnosť zadať viac ako jeden hash SHA-2 na príkazovom riadku oddelenom čiarkami. Hash SHA-2 možno použiť aj v sudoers v spojení s kľúčovým slovom "ALL" na definovanie príkazov, ktoré možno spustiť iba vtedy, ak sa hash zhoduje;
  • sudo a sudo_logsrvd poskytujú vytvorenie dodatočného súboru denníka vo formáte JSON, ktorý odráža informácie o všetkých parametroch spúšťaných príkazov vrátane názvu hostiteľa. Tento protokol používa utilita sudoreplay, ktorá má teraz možnosť filtrovať príkazy podľa názvu hostiteľa;
  • Zoznam argumentov príkazového riadka odovzdaných cez premennú prostredia SUDO_COMMAND je teraz skrátený na 4096 znakov.

Zdroj: opennet.ru

Pridať komentár