9.x 分支形成 1.8 年后 该实用程序的新重要版本 ,用于代表其他用户组织命令的执行。
关键变化:
- 结构 后台进程 ,专为其他系统的集中日志记录而设计。 使用“--enable-openssl”选项构建 sudo 时,数据通过加密通信通道 (TLS) 传输。 配置日志的发送是使用 sudoers 中的 log_servers 选项完成的。 为了禁用对新日志发送机制的支持,添加了“--disable-log-server”和“--disable-log-client”选项。 为了测试与服务器的交互或发送现有日志,建议使用 sudo_sendlog 实用程序;
- 机会 Python 中的 sudo,在使用“--enable-python”选项构建时启用;
- 添加了一种新型插件 - “审核”,向其发送有关成功和不成功调用以及发生的错误的消息。 一种新型插件允许您连接自己的日志处理程序,这些处理程序不依赖于标准功能(例如,以插件的形式实现用于以 JSON 格式写入日志的处理程序);
- 添加了新的插件类型“approval”,以便在 sudoers 中成功执行基于规则的基本权限检查后执行其他检查。 可以在设置中指定多个此类插件,但只有在设置中列出的所有插件都批准后才会发出操作确认;
- “sudo -S”命令现在将所有请求打印到标准输出或 stderr,而无需访问终端控制设备;
- 在sudoers中,代替Cmnd_Alias,指定Cmd_Alias现在也是可以接受的;
- 添加了新的 pam_ruser 和 pam_rhost 设置,以在通过 PAM 设置会话时启用/禁用设置用户名和主机值;
- 提供在以逗号分隔的命令行上指定多个 SHA-2 哈希的功能。 SHA-2 哈希值还可以在 sudoers 中与“ALL”关键字结合使用,以定义仅在哈希值匹配时才能运行的命令;
- sudo 和 sudo_logsrvd 提供 JSON 格式的附加日志文件的创建,反映有关已启动命令的所有参数的信息,包括主机名。 该日志由 sudoreplay 实用程序使用,该实用程序现在能够按主机名过滤命令;
- 通过 SUDO_COMMAND 环境变量传递的命令行参数列表现在被截断为 4096 个字符。
来源: opennet.ru