Na 9 jaar vorming van de 1.8.x tak van sudo, de release van een nieuwe versie werd aangekondigd belangrijk kenmerk van het hulpprogramma dat wordt gebruikt om de uitvoering van opdrachten namens andere gebruikers te organiseren, de nieuwe versie is "Sudo 1.9.0" en dat markeert ook een nieuwe tak.
Sudo het meest essentiële hulpprogramma en wordt gebruikt in Unix-achtige besturingssystemen, zoals Linux, BSD of Mac OS X, aangezien dit, zoals gezegd, stelt gebruikers in staat om programma's uit te voeren met de beveiligingsrechten van een andere gebruiker (meestal de rootgebruiker) veilig, waardoor ze tijdelijk superuser worden.
Standaard moet de gebruiker zich verifiëren met zijn wachtwoord wanneer sudo wordt uitgevoerd. Nadat de gebruiker is geverifieerd en als het / etc / sudoers-configuratiebestand de gebruiker toegang geeft tot het vereiste commando, voert het systeem het uit.
Er is de optie om de parameter NOPASSWD in te schakelen om het invoeren van het wachtwoord d te vermijdenen gebruiker bij het uitvoeren van het commando. Het / etc / sudoers-configuratiebestand specificeert welke gebruikers welke commando's kunnen uitvoeren namens welke andere gebruikers.
Omdat sudo erg strikt is met het formaat van dit bestand en eventuele fouten ernstige problemen kunnen veroorzaken, is er het hulpprogramma visudo; Deze optie wordt gebruikt om te controleren of het bestand / etc / sudoers niet wordt gebruikt door een andere sessie van de rootgebruiker, waardoor meerdere bewerkingen met mogelijke bestandscorruptie worden vermeden.
Belangrijkste nieuws in Sudo 1.9.0
In deze nieuwe versie het uitgevoerde werk enn geef de compositie het achtergrondproces «sudo_logsrvd«, dit is ontworpen voor gecentraliseerde registratie van andere systemen. Bij het bouwen van sudo met de optie «–Enable-openssl«, De gegevens worden verzonden via een gecodeerd communicatiekanaal (TLS).
Het record wordt geconfigureerd met de optie log_servers in sudoers en om ondersteuning voor het nieuwe mechanisme voor het indienen van logboeken uit te schakelen, de '–Disable-log-server»En« –disable-log-client ».
Bovendien heeft er is een nieuw type plug-in toegevoegd «Controle», die berichten verzendt over geslaagde en niet-succesvolle oproepen, evenals over de fouten die optreden, evenals een nieuw type plug-in waarmee u uw eigen controllers kunt aansluiten om in te loggen en die niet afhankelijk zijn van de standaardfunctionaliteit. Een controller voor het schrijven van records in JSON-indeling wordt bijvoorbeeld geïmplementeerd in de vorm van een plug-in.)
ook er is een nieuw soort plug-ins toegevoegd «goedkeuring" dat ze worden gebruikt om aanvullende controles uit te voeren na een basisautorisatiecontrole succesvolle regelgebaseerd in sudoers. Meerdere plug-ins van dit type kunnen worden gespecificeerd in de instellingen, maar de bevestiging van de bewerking wordt alleen uitgegeven als deze is goedgekeurd door alle plug-ins die in de instellingen worden vermeld.
In sudo en sudo_logsrvdwordt er een extra logboekbestand gemaakt in JSON-indeling, dat de informatie weergeeft over alle parameters van de lopende opdrachten, inclusief de hostnaam. Dit register wordt gebruikt door het hulpprogramma sweatreplay, waarin het mogelijk is om commando's op hostnaam te filteren.
De lijst met opdrachtregelargumenten die door de omgevingsvariabele zijn doorgegeven sudo_command het is nu afgekapt tot 4096 tekens.
Van de andere veranderingen die opvallen in de advertentie:
- De opdracht sudo -S drukt nu alle verzoeken af naar standaarduitvoer of stderr, zonder toegang tot het terminalbesturingsapparaat.
- Om de interactie met de server te testen of bestaande logboeken te verzenden, wordt het hulpprogramma sudo_sendlog voorgesteld;
- De mogelijkheid toegevoegd om sudo-plug-ins in Python te ontwikkelen, die tijdens het compileren is ingeschakeld met de optie «- Python inschakelen".
- En sudoersin plaats van Cmnd_aliassen, Cmd_aliassen Nu is het ook geldig.
- Nieuwe instellingen toegevoegd pam_ruser en pam_rhost om de configuratie van gebruikersnaam en hostinstellingen in / uit te schakelen bij het configureren van een sessie via PAM.
- Het is mogelijk om meer dan één SHA-2-hash op te geven op een door komma's gescheiden opdrachtregel. De SHA-2-hash kan ook in sudoers worden gebruikt in combinatie met het sleutelwoord "ALL" om opdrachten te definiëren die alleen kunnen worden uitgevoerd als de hash overeenkomt.