ProHoster > Блог > Новини інтернету > Випуск sudo 1.9.0

Випуск sudo 1.9.0

Через 9 років після формування гілки 1.8.x опубліковано новий значний випуск утиліти sudo 1.9.0, яка використовується для організації виконання команд від імені інших користувачів.

Ключові зміни:

  • До складу включений фоновий процес sudo_logsrvdпризначений для централізованого ведення логів з інших систем. При складанні sudo c опцією «enable-openssl» дані передаються через шифрований канал зв'язку (TLS). Налаштування відправлення логів здійснюється за допомогою опції log_servers у sudoers. Для відключення підтримки нового механізму відправки логів додані опції «disable-log-server» і «disable-log-client». Для тестування взаємодії з сервером або надсилання існуючих логів запропоновано утиліту sudo_sendlog;
  • Додана можливість розробки плагінів для sudo мовою Python, яка включається при складанні з опцією «enable-python»;
  • Додано новий тип плагінів — «audit», яким надсилаються повідомлення про успішні та невдалі звернення, а також про помилки, що виникають. Новий тип плагінів дозволяє підключати власні обробники для ведення логів, які не залежать від штатної функціональності (наприклад, у формі плагіну реалізований обробник для запису логів у форматі JSON);
  • Доданий новий тип плагінів - "approval", для виконання додаткових перевірок після успішної базової перевірки повноважень на основі правил sudoers. У налаштуваннях можуть вказуватися кілька плагінів даного типу, але підтвердження виконання операції видається лише за її схваленні всіма перерахованими в налаштуваннях плагінами;
  • Команда «sudo -S» тепер виводить усі запити до стандартного виведення або stderr, без звернення до пристрою керування терміналом;
  • У sudoers замість Cmnd_Alias ​​тепер також припустимо вказівку Cmd_Alias;
  • Додані нові налаштування pam_ruser та pam_rhost для увімкнення/вимкнення установки значень імені користувача та хоста при налаштуванні сеансу через PAM;
  • Забезпечено можливість вказівки більше одного хеша SHA-2 у командному рядку з поділом коми. SHA-2 хеш також можна використовувати в sudoers у зв'язці з ключовим словом "ALL" для визначення команд, запуск яких дозволяється тільки при збігу хеш;
  • У sudo та sudo_logsrvd забезпечено створення додаткового файлу з логом у форматі JSON, що відображатиме інформацію про всі параметри запущених команд, включаючи ім'я хоста. Даний лог використовується утилітою sudoreplay, в якій з'явилася можливість фільтрації команд на ім'я хоста;
  • Список аргументів командного рядка, що передається через змінну оточення SUDO_COMMAND, тепер обрізається до 4096 символів.

Джерело: opennet.ru

Додати коментар або відгук