Прибыла новая ветка sudo 1.9.0, и это ее новости

После 9 лет образования ветки sudo 1.8.x, анонсирован выпуск новой версии важная особенность утилиты, которая используется для организации выполнения команд от имени других пользователей, в новой версии «Sudo 1.9.0», и это также означает новую ветку.

Sudo - самая важная утилита, используемая в Unix-подобных операционных системах, как Linux, BSD или Mac OS X, поскольку, как уже упоминалось, это позволяет пользователям запускать программы с привилегиями безопасности другого пользователя (обычно пользователь root) безопасно, таким образом временно становясь суперпользователем.

По умолчанию пользователь должен аутентифицироваться со своим паролем при запуске sudo. После аутентификации пользователя и если файл конфигурации / etc / sudoers позволяет предоставить пользователю доступ к требуемой команде, система выполняет ее.

Есть возможность включить параметр NOPASSWD, чтобы не вводить пароль dи пользователь при выполнении команды. Файл конфигурации / etc / sudoers указывает, какие пользователи могут выполнять какие команды от имени каких других пользователей.

Поскольку sudo очень строго использует формат этого файла и любые ошибки могут вызвать серьезные проблемы, существует утилита visudo; Эта опция используется для проверки того, что файл / etc / sudoers не используется из другого сеанса пользователя root, что позволяет избежать многократного редактирования с возможным повреждением файла.

Основные новости в Sudo 1.9.0

В этой новой версии проделанная работа иn предоставить композицию фоновый процесс «sudo_logsrvd«, это предназначен для централизованной регистрации других систем. При сборке sudo с опцией «–Enable-openssl«, Данные передаются по зашифрованному каналу связи (TLS).

Запись настраивается с помощью параметра log_servers в sudoers и чтобы отключить поддержку нового механизма отправки журнала, '–Disable-log-server»И« –disable-log-client ».

Кроме того, добавлен новый тип плагина «Аудит», который отправляет сообщения об успешных и неудачных звонках, а также о возникающих ошибках, а также о новом типе плагина, который позволяет подключать собственные контроллеры для входа в систему и который не зависит от стандартной функциональности. Например, контроллер для записи записей в формате JSON реализован в виде плагина.

также добавлен новый вид плагинов «утверждение«что они используются для выполнения дополнительных проверок после базовой проверки авторизации успешные sudoers на основе правил. В настройках можно указать несколько плагинов этого типа, но подтверждение операции выдается только в том случае, если оно одобрено всеми плагинами, перечисленными в настройках.

В sudo и sudo_logsrvdсоздается дополнительный файл журнала в формате JSON, в котором отражается информация обо всех параметрах выполняемых команд, включая имя хоста. Этот регистр используется утилитой Sudoreplay, в котором можно фильтровать команды по имени хоста.

Список аргументов командной строки, передаваемых через переменную среды sudo_command теперь он усечен до 4096 символов.

Из других изменений которые выделяются из рекламы:

  • Команда sudo -S теперь выводит все запросы на стандартный вывод или stderr без доступа к устройству управления терминалом.
  • Для проверки взаимодействия с сервером или отправки существующих журналов предлагается утилита sudo_sendlog;
  • Добавлена ​​возможность разрабатывать плагины sudo в Python, которая включается во время компиляции с опцией «–Enable-python».
  • En свитеравместо Cmnd_Aliases, Cmd_Aliases Теперь это тоже действительно.
  • Добавлены новые настройки pam_ruser и pam_rhost для включения / выключения конфигурации имени пользователя и настроек хоста при настройке сеанса через PAM.
  • Можно указать более одного хэша SHA-2 в командной строке, разделенной запятыми. Хэш SHA-2 также может использоваться в sudoers вместе с ключевым словом «ALL» для определения команд, которые могут быть выполнены только при совпадении хеша.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.