โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ปล่อย sudo 1.9.0

ปล่อย sudo 1.9.0

9 ปีหลังจากการก่อตั้งสาขา 1.8.x การตีพิมพ์ ยูทิลิตี้รุ่นใหม่ที่สำคัญ ซูโด้ 1.9.0ใช้เพื่อจัดระเบียบการดำเนินการคำสั่งในนามของผู้ใช้รายอื่น

การเปลี่ยนแปลงที่สำคัญ:

  • โครงสร้าง เปิด กระบวนการเบื้องหลัง sudo_logsrvdออกแบบมาสำหรับการบันทึกแบบรวมศูนย์จากระบบอื่น เมื่อสร้าง sudo ด้วยตัวเลือก “--enable-openssl” ข้อมูลจะถูกส่งผ่านช่องทางการสื่อสารที่เข้ารหัส (TLS) การกำหนดค่าการส่งบันทึกทำได้โดยใช้ตัวเลือก log_servers ใน sudoers หากต้องการปิดใช้งานการสนับสนุนกลไกการส่งบันทึกใหม่ เราได้เพิ่มตัวเลือก "--disable-log-server" และ "--disable-log-client" เพื่อทดสอบการโต้ตอบกับเซิร์ฟเวอร์หรือส่งบันทึกที่มีอยู่ จะมีการเสนอยูทิลิตี sudo_sendlog
  • เพิ่ม โอกาส การพัฒนาปลั๊กอิน สำหรับ sudo ใน Python ซึ่งเปิดใช้งานเมื่อสร้างด้วยตัวเลือก “--enable-python”
  • มีการเพิ่มปลั๊กอินประเภทใหม่ - "การตรวจสอบ" ซึ่งจะส่งข้อความเกี่ยวกับการโทรที่สำเร็จและไม่สำเร็จรวมถึงข้อผิดพลาดที่เกิดขึ้น ปลั๊กอินประเภทใหม่ช่วยให้คุณเชื่อมต่อตัวจัดการของคุณเองสำหรับการบันทึกที่ไม่ขึ้นอยู่กับฟังก์ชันการทำงานมาตรฐาน (ตัวอย่างเช่น มีการใช้ตัวจัดการสำหรับการเขียนบันทึกในรูปแบบ JSON ในรูปแบบของปลั๊กอิน)
  • เพิ่มประเภทปลั๊กอินใหม่ "การอนุมัติ" เพื่อทำการตรวจสอบเพิ่มเติมหลังจากการตรวจสอบสิทธิ์ตามกฎพื้นฐานใน sudoers สำเร็จ สามารถระบุปลั๊กอินประเภทนี้ได้หลายตัวในการตั้งค่า แต่จะออกการยืนยันสำหรับการดำเนินการเฉพาะเมื่อได้รับการอนุมัติโดยปลั๊กอินทั้งหมดที่ระบุไว้ในการตั้งค่า
  • คำสั่ง "sudo -S" จะพิมพ์คำขอทั้งหมดไปยังเอาต์พุตมาตรฐานหรือ stderr โดยไม่ต้องเข้าถึงอุปกรณ์ควบคุมเทอร์มินัล
  • ใน sudoers แทนที่จะเป็น Cmnd_Alias ​​การระบุ Cmd_Alias ​​​​ก็เป็นที่ยอมรับเช่นกัน
  • เพิ่มการตั้งค่า pam_ruser และ pam_rhost ใหม่เพื่อเปิด/ปิดชื่อผู้ใช้และค่าโฮสต์เมื่อตั้งค่าเซสชันผ่าน PAM
  • ให้ความสามารถในการระบุแฮช SHA-2 มากกว่าหนึ่งรายการบนบรรทัดคำสั่งที่คั่นด้วยเครื่องหมายจุลภาค แฮช SHA-2 สามารถใช้ใน sudoers ร่วมกับคีย์เวิร์ด "ALL" เพื่อกำหนดคำสั่งที่สามารถทำงานได้หากแฮชตรงกันเท่านั้น
  • sudo และ sudo_logsrvd จะสร้างไฟล์บันทึกเพิ่มเติมในรูปแบบ JSON ซึ่งสะท้อนข้อมูลเกี่ยวกับพารามิเตอร์ทั้งหมดของคำสั่งที่เรียกใช้ รวมถึงชื่อโฮสต์ บันทึกนี้ถูกใช้โดยยูทิลิตี้ sudoreplay ซึ่งขณะนี้มีความสามารถในการกรองคำสั่งตามชื่อโฮสต์
  • รายการอาร์กิวเมนต์บรรทัดคำสั่งที่ส่งผ่านตัวแปรสภาพแวดล้อม SUDO_COMMAND ถูกตัดให้เหลือ 4096 อักขระแล้ว

ที่มา: opennet.ru

เพิ่มความคิดเห็น