Pagkatapos ng 9 na taon ng pagbuo ng 1.8.x sangay ng sudo, ang paglabas ng isang bagong bersyon ay inihayag makabuluhang tampok ng utility na ginagamit upang ayusin ang pagpapatupad ng utos sa ngalan ng iba pang mga gumagamit, ang bagong bersyon ay "Sudo 1.9.0" at nagmamarka din ito ng isang bagong sangay.
Ang Sudo ang pinakamahalagang utility at ginagamit sa mga operating system na tulad ng Unix, tulad ng Linux, BSD, o Mac OS X, dahil tulad ng nabanggit, ito Pinapayagan ang mga gumagamit na magpatakbo ng mga programa na may mga pribilehiyo sa seguridad ng ibang gumagamit (Karaniwan ang root user) na ligtas, kaya pansamantalang nagiging superuser.
Bilang default, dapat patunayan ng gumagamit ang kanilang password kapag nagpapatakbo ng sudo. Kapag ang gumagamit ay napatunayan at kung ang file ng pagsasaayos ng / etc / sudoers ay nagbibigay-daan sa pagbibigay ng access sa gumagamit sa kinakailangang utos, isinasagawa ito ng system.
Mayroong pagpipilian upang paganahin ang parameter ng NOPASSWD upang maiwasan ang pagpasok ng password dat gumagamit kapag isinasagawa ang utos. Tinutukoy ng file ng pagsasaayos ng / etc / sudoers kung aling mga gumagamit ang maaaring magpatupad ng aling mga utos sa ngalan ng alin pang mga gumagamit.
Dahil ang sudo ay napakahigpit sa format ng file na ito at ang anumang mga pagkakamali ay maaaring maging sanhi ng mga seryosong problema, mayroong visudo utility; Ginagamit ang pagpipiliang ito upang suriin na ang / etc / sudoers file ay hindi ginagamit mula sa isa pang sesyon ng root user, sa gayon pag-iwas sa multi-edit na may posibleng katiwalian sa file.
Pangunahing balita sa Sudo 1.9.0
Sa bagong bersyon na ito ang gawaing naisakatuparan atn magbigay ng komposisyon ang proseso ng background «sudo_logsrvd«, ito ay idinisenyo para sa sentralisadong pagpaparehistro ng iba pang mga system. Kapag nagtatayo ng sudo na may pagpipilian na «–Enable-openssl«, Ang data ay ipinadala sa isang naka-encrypt na channel ng komunikasyon (TLS).
Ang talaan ay naka-configure gamit ang pagpipiliang log_servers sa mga sudoer at upang hindi paganahin ang suporta para sa bagong mekanismo ng pagsumite ng log, ang '–I-disable-log-server»At« –disable-log-client ».
Bukod dito, isang bagong uri ng plugin ang naidagdag «Audit», na nagpapadala ng mga mensahe tungkol sa matagumpay at hindi matagumpay na mga tawag, pati na rin tungkol sa mga error na nagaganap, pati na rin isang bagong uri ng plugin na nagbibigay-daan sa iyo upang ikonekta ang iyong sariling mga tagakontrol upang mag-log in at hindi nakasalalay sa karaniwang pag-andar. Halimbawa, ang isang controller para sa pagsusulat ng mga tala sa format na JSON ay ipinatupad sa anyo ng isang plugin.)
Rin isang bagong uri ng mga plugin ang naidagdag «pagsang-ayonIyon ginagamit ang mga ito upang magsagawa ng mga karagdagang pagsusuri pagkatapos ng pangunahing pagsusuri ng pagpapahintulot matagumpay na mga sudoer na nakabatay sa panuntunan. Ang maraming mga plugin ng ganitong uri ay maaaring tukuyin sa mga setting, ngunit ang kumpirmasyon ng pagpapatakbo ay inilalabas lamang kapag naaprubahan ito ng lahat ng mga plugin na nakalista sa mga setting.
Sa sudo at sudo_logsrvd, isang karagdagang file ng log ang nilikha sa format na JSON, na sumasalamin sa impormasyon tungkol sa lahat ng mga parameter ng mga tumatakbo na utos, kabilang ang pangalan ng host. Ang rehistro na ito ay ginagamit ng utility sweatreplay, kung saan posible na salain ang mga utos sa pamamagitan ng hostname.
Ang listahan ng mga argumento ng linya ng utos na ipinasa sa variable ng kapaligiran sudo_command ito ay pinutol ngayon sa 4096 na mga character.
Sa iba pang mga pagbabago tumayo mula sa ad:
- Ang sudo -S utos ay naka-print ngayon sa lahat ng mga kahilingan sa karaniwang output o stderr, nang hindi ina-access ang terminal control device.
- Upang subukan ang pakikipag-ugnay sa server o magpadala ng mga mayroon nang mga tala, iminungkahi ang utility ng sudo_sendlog;
- Idinagdag ang kakayahang bumuo ng mga plugin ng sudo sa Python, na pinagana sa panahon ng pagtitipon sa pagpipiliang «–Enable-python".
- En sudoers, sa halip ng Cmnd_Aliases, Cmd_Aliases Ngayon ay may bisa rin ito.
- Nagdagdag ng mga bagong setting pam_ruser at pam_rhost upang paganahin / huwag paganahin ang pagtatakda ng mga setting ng username at host kapag nagse-set up ng isang session sa pamamagitan ng PAM.
- Posibleng tukuyin ang higit sa isang hash ng SHA-2 sa isang linya ng utos na pinaghiwalay ng kuwit. Ang SHA-2 hash ay maaari ring magamit sa mga sudero kasabay ng keyword na "LAHAT" upang tukuyin ang mga utos na maaari lamang maisagawa kapag tumugma ang hash.