หลังจาก 9 ปีของการสร้างสาขา 1.8.x ของ sudo มีการประกาศการเปิดตัวเวอร์ชันใหม่ คุณลักษณะที่สำคัญของยูทิลิตี้ที่ใช้ในการจัดระเบียบการดำเนินการคำสั่งในนามของผู้ใช้รายอื่นซึ่งเป็นเวอร์ชันใหม่ "ซูโด 1.9.0" และนั่นยังนับเป็นสาขาใหม่
Sudo เป็นยูทิลิตี้ที่สำคัญที่สุดและใช้ในระบบปฏิบัติการที่เหมือน Unix เช่น Linux, BSD หรือ Mac OS X ตามที่กล่าวมานี้ อนุญาตให้ผู้ใช้รันโปรแกรมด้วยสิทธิ์ด้านความปลอดภัยของผู้ใช้รายอื่น (โดยปกติจะเป็นผู้ใช้ root) อย่างปลอดภัยจึงกลายเป็น superuser ชั่วคราว
ตามค่าเริ่มต้นผู้ใช้ต้องพิสูจน์ตัวตนด้วยรหัสผ่านเมื่อเรียกใช้ sudo เมื่อผู้ใช้ได้รับการพิสูจน์ตัวตนและหากไฟล์คอนฟิกูเรชัน / etc / sudoers อนุญาตให้ผู้ใช้เข้าถึงคำสั่งที่ต้องการระบบจะดำเนินการ
มีตัวเลือกในการเปิดใช้งานพารามิเตอร์ NOPASSWD เพื่อหลีกเลี่ยงการป้อนรหัสผ่าน dและผู้ใช้เมื่อดำเนินการคำสั่ง ไฟล์คอนฟิกูเรชัน / etc / sudoers ระบุผู้ใช้ที่สามารถรันคำสั่งใดในนามของผู้ใช้รายอื่น
เนื่องจาก sudo เข้มงวดมากกับรูปแบบของไฟล์นี้และข้อผิดพลาดใด ๆ อาจทำให้เกิดปัญหาร้ายแรงจึงมียูทิลิตี้ visudo ตัวเลือกนี้ใช้เพื่อตรวจสอบว่าไม่ได้ใช้ไฟล์ / etc / sudoers จากเซสชันอื่นของผู้ใช้รูทดังนั้นจึงหลีกเลี่ยงการแก้ไขหลายไฟล์ที่อาจเกิดความเสียหายได้
ข่าวหลักใน Sudo 1.9.0
ในเวอร์ชันใหม่นี้ งานที่ดำเนินการและn ให้องค์ประกอบ กระบวนการพื้นหลัง«sudo_logsrvd«, นี่คือ ออกแบบมาสำหรับการลงทะเบียนส่วนกลางของระบบอื่น ๆ. เมื่อสร้าง sudo ด้วยตัวเลือก«- เปิดใช้งาน-openssl«ข้อมูลจะถูกส่งผ่านช่องทางการสื่อสารที่เข้ารหัส (TLS)
การบันทึก ถูกกำหนดค่าโดยใช้อ็อพชัน log_servers ใน sudoers และปิดใช้งานการสนับสนุนกลไกการส่งบันทึกใหม่- ปิดการใช้งานล็อกเซิร์ฟเวอร์»และ« –disable-log-client »
นอกจากนี้ มีการเพิ่มประเภทปลั๊กอินใหม่ «การตรวจสอบ» ที่ส่งข้อความเกี่ยวกับการโทรที่ประสบความสำเร็จและไม่สำเร็จ ตลอดจนเกี่ยวกับข้อผิดพลาดที่เกิดขึ้นตลอดจนปลั๊กอินชนิดใหม่ที่ช่วยให้คุณสามารถเชื่อมต่อคอนโทรลเลอร์ของคุณเองเพื่อเข้าสู่ระบบและไม่ได้ขึ้นอยู่กับฟังก์ชันการทำงานมาตรฐาน ตัวอย่างเช่นตัวควบคุมสำหรับการเขียนบันทึกในรูปแบบ JSON จะถูกนำไปใช้ในรูปแบบของปลั๊กอิน)
ด้วย มีการเพิ่มปลั๊กอินชนิดใหม่ «การอนุมัติ"ว่า ใช้ในการตรวจสอบเพิ่มเติมหลังจากการตรวจสอบการอนุญาตขั้นพื้นฐาน sudoers ตามกฎที่ประสบความสำเร็จ คุณสามารถระบุปลั๊กอินประเภทนี้ได้หลายรายการในการตั้งค่า แต่การยืนยันการดำเนินการจะออกเมื่อได้รับการอนุมัติจากปลั๊กอินทั้งหมดที่ระบุไว้ในการตั้งค่าเท่านั้น
ใน sudo และ sudo_logsrvdไฟล์บันทึกเพิ่มเติมจะถูกสร้างขึ้นในรูปแบบ JSON ซึ่งแสดงข้อมูลเกี่ยวกับพารามิเตอร์ทั้งหมดของคำสั่งที่กำลังทำงานอยู่รวมถึงชื่อโฮสต์ ยูทิลิตี้นี้ใช้การลงทะเบียนนี้ เล่นเหงื่อออกซึ่งสามารถกรองคำสั่งตามชื่อโฮสต์ได้
รายการอาร์กิวเมนต์บรรทัดคำสั่งที่ส่งผ่านตัวแปรสภาพแวดล้อม sudo_command ตอนนี้ถูกตัดให้เหลือ 4096 อักขระ
จากการเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นจากโฆษณา:
- ขณะนี้คำสั่ง sudo -S พิมพ์คำขอทั้งหมดไปยังเอาต์พุตมาตรฐานหรือ stderr โดยไม่ต้องเข้าถึงอุปกรณ์ควบคุมเทอร์มินัล
- ในการทดสอบการโต้ตอบกับเซิร์ฟเวอร์หรือส่งบันทึกที่มีอยู่ยูทิลิตี้ sudo_sendlog จะถูกเสนอ
- เพิ่มความสามารถในการพัฒนาปลั๊กอิน sudo ใน Python ซึ่งเปิดใช้งานระหว่างการรวบรวมด้วยตัวเลือก«- เปิดใช้งาน-python"
- En sudoersแทน Cmnd_Aliases, Cmd_Aliases ตอนนี้ก็ใช้ได้เช่นกัน
- เพิ่มการตั้งค่าใหม่แล้ว pam_ruser และ pam_rhost เพื่อเปิด / ปิดการตั้งค่าชื่อผู้ใช้และการตั้งค่าโฮสต์เมื่อตั้งค่าเซสชันผ่าน PAM
- เป็นไปได้ที่จะระบุแฮช SHA-2 มากกว่าหนึ่งรายการบนบรรทัดคำสั่งที่คั่นด้วยเครื่องหมายจุลภาค นอกจากนี้แฮช SHA-2 ยังสามารถใช้ใน sudoers ร่วมกับคีย์เวิร์ด "ALL" เพื่อกำหนดคำสั่งที่สามารถเรียกใช้งานได้เมื่อแฮชตรงกันเท่านั้น