Dopo 9 anni dalla formazione del ramo 1.8.x di sudo, è stato annunciato il rilascio di una nuova versione caratteristica significativa dell'utilità che viene utilizzata per organizzare l'esecuzione di comandi per conto di altri utenti, essendo la nuova versione "Sudo 1.9.0" e che segna anche un nuovo ramo.
Sudo l'utilità più essenziale e utilizzata nei sistemi operativi Unix-like, come Linux, BSD o Mac OS X, poiché come accennato, questo consente agli utenti di eseguire programmi con i privilegi di sicurezza di un altro utente (di solito l'utente root) in modo sicuro, diventando così temporaneamente superutente.
Per impostazione predefinita, l'utente deve autenticarsi con la propria password quando esegue sudo. Una volta che l'utente è stato autenticato e se il file di configurazione / etc / sudoers consente di fornire all'utente l'accesso al comando richiesto, il sistema lo esegue.
C'è la possibilità di abilitare il parametro NOPASSWD per evitare di inserire la password de l'utente durante l'esecuzione del comando. Il file di configurazione / etc / sudoers specifica quali utenti possono eseguire quali comandi per conto di quali altri utenti.
Poiché sudo è molto rigido con il formato di questo file e qualsiasi errore potrebbe causare seri problemi, esiste l'utilità visudo; Questa opzione viene utilizzata per verificare che il file / etc / sudoers non venga utilizzato da un'altra sessione dell'utente root, evitando così il multi-editing con possibile danneggiamento del file.
Principali novità in Sudo 1.9.0
In questa nuova versione il lavoro svolto en fornire la composizione il processo in background «sudo_logsrvd«, questo è progettato per la registrazione centralizzata di altri sistemi. Quando si crea sudo con l'opzione «–Enable-openssl«, I dati vengono trasmessi su un canale di comunicazione crittografato (TLS).
Il record è configurato utilizzando l'opzione log_servers in sudoers e per disabilitare il supporto per il nuovo meccanismo di invio dei log, il '–Disable-log-server"E" –disable-log-client ".
Inoltre, è stato aggiunto un nuovo tipo di plug-in «Audit», che invia messaggi di chiamate riuscite e non riuscite, così come sugli errori che si verificano, nonché un nuovo tipo di plugin che ti permette di connettere i tuoi controller per accedere e che non dipendono dalle funzionalità standard. Ad esempio, un controller per la scrittura di record in formato JSON è implementato sotto forma di plug-in.)
anche è stato aggiunto un nuovo tipo di plugin «approvazione"che vengono utilizzati per eseguire controlli aggiuntivi dopo un controllo di autorizzazione di base sudoer basati su regole di successo. È possibile specificare più plugin di questo tipo nelle impostazioni, ma la conferma dell'operazione viene rilasciata solo quando viene approvata da tutti i plugin elencati nelle impostazioni.
In sudo e sudo_logsrvd, viene creato un file di log aggiuntivo in formato JSON, che riflette le informazioni su tutti i parametri dei comandi in esecuzione, incluso il nome host. Questo registro viene utilizzato dall'utilità replica del sudore, in cui è possibile filtrare i comandi per nome host.
L'elenco degli argomenti della riga di comando passati attraverso la variabile di ambiente SUDO_COMANDO ora è troncato a 4096 caratteri.
Delle altre modifiche che si distinguono dall'annuncio:
- Il comando sudo -S ora stampa tutte le richieste sullo standard output o stderr, senza accedere al dispositivo di controllo del terminale.
- Per testare l'interazione con il server o inviare log esistenti, viene proposta l'utility sudo_sendlog;
- Aggiunta la possibilità di sviluppare plugin sudo in Python, che viene abilitata durante la compilazione con l'opzione «–Enable-python«.
- En maglioni, invece di Cmnd_Alias, Cmd_Alias Ora è anche valido.
- Nuove impostazioni aggiunte pam_ruser e pam_rhost per abilitare / disabilitare la configurazione del nome utente e delle impostazioni dell'host durante la configurazione di una sessione tramite PAM.
- È possibile specificare più di un hash SHA-2 su una riga di comando separata da virgole. L'hash SHA-2 può essere utilizzato anche nei sudoer insieme alla parola chiave "ALL" per definire comandi che possono essere eseguiti solo quando l'hash corrisponde.