После 9 лет образования ветки sudo 1.8.x, анонсирован выпуск новой версии важная особенность утилиты, которая используется для организации выполнения команд от имени других пользователей, в новой версии «Sudo 1.9.0», и это также означает новую ветку.
Sudo - самая важная утилита, используемая в Unix-подобных операционных системах, как Linux, BSD или Mac OS X, поскольку, как уже упоминалось, это позволяет пользователям запускать программы с привилегиями безопасности другого пользователя (обычно пользователь root) безопасно, таким образом временно становясь суперпользователем.
По умолчанию пользователь должен аутентифицироваться со своим паролем при запуске sudo. После аутентификации пользователя и если файл конфигурации / etc / sudoers позволяет предоставить пользователю доступ к требуемой команде, система выполняет ее.
Есть возможность включить параметр NOPASSWD, чтобы не вводить пароль dи пользователь при выполнении команды. Файл конфигурации / etc / sudoers указывает, какие пользователи могут выполнять какие команды от имени каких других пользователей.
Поскольку sudo очень строго использует формат этого файла и любые ошибки могут вызвать серьезные проблемы, существует утилита visudo; Эта опция используется для проверки того, что файл / etc / sudoers не используется из другого сеанса пользователя root, что позволяет избежать многократного редактирования с возможным повреждением файла.
Основные новости в Sudo 1.9.0
В этой новой версии проделанная работа иn предоставить композицию фоновый процесс «sudo_logsrvd«, это предназначен для централизованной регистрации других систем. При сборке sudo с опцией «–Enable-openssl«, Данные передаются по зашифрованному каналу связи (TLS).
Запись настраивается с помощью параметра log_servers в sudoers и чтобы отключить поддержку нового механизма отправки журнала, '–Disable-log-server»И« –disable-log-client ».
Кроме того, добавлен новый тип плагина «Аудит», который отправляет сообщения об успешных и неудачных звонках, а также о возникающих ошибках, а также о новом типе плагина, который позволяет подключать собственные контроллеры для входа в систему и который не зависит от стандартной функциональности. Например, контроллер для записи записей в формате JSON реализован в виде плагина.
также добавлен новый вид плагинов «утверждение«что они используются для выполнения дополнительных проверок после базовой проверки авторизации успешные sudoers на основе правил. В настройках можно указать несколько плагинов этого типа, но подтверждение операции выдается только в том случае, если оно одобрено всеми плагинами, перечисленными в настройках.
В sudo и sudo_logsrvdсоздается дополнительный файл журнала в формате JSON, в котором отражается информация обо всех параметрах выполняемых команд, включая имя хоста. Этот регистр используется утилитой Sudoreplay, в котором можно фильтровать команды по имени хоста.
Список аргументов командной строки, передаваемых через переменную среды sudo_command теперь он усечен до 4096 символов.
Из других изменений которые выделяются из рекламы:
- Команда sudo -S теперь выводит все запросы на стандартный вывод или stderr без доступа к устройству управления терминалом.
- Для проверки взаимодействия с сервером или отправки существующих журналов предлагается утилита sudo_sendlog;
- Добавлена возможность разрабатывать плагины sudo в Python, которая включается во время компиляции с опцией «–Enable-python».
- En свитеравместо Cmnd_Aliases, Cmd_Aliases Теперь это тоже действительно.
- Добавлены новые настройки pam_ruser и pam_rhost для включения / выключения конфигурации имени пользователя и настроек хоста при настройке сеанса через PAM.
- Можно указать более одного хэша SHA-2 в командной строке, разделенной запятыми. Хэш SHA-2 также может использоваться в sudoers вместе с ключевым словом «ALL» для определения команд, которые могут быть выполнены только при совпадении хеша.