Выпуск sudo 1.9.0

sudo 1.9.0 Новости

Спустя 9 лет после формирования ветки 1.8.x опубликован новый значительный выпуск утилиты sudo 1.9.0, используемой для организации выполнения команд от имени других пользователей.

Ключевые изменения:

  • В состав включён фоновый процесс sudo_logsrvd, предназначенный для централизованного ведения логов с других систем. При сборке sudo c опцией “–enable-openssl” данные передаются через шифрованный канал связи (TLS). Настройка отправки логов осуществляется при помощи опции log_servers в sudoers. Для отключения поддержки нового механизма отправки логов добавлены опции “–disable-log-server” и “–disable-log-client”. Для тестирования взаимодействия с сервером или отправки существующих логов предложена утилита sudo_sendlog;
  • Добавлена возможность разработки плагинов для sudo на языке Python, которая включается при сборке с опцией “–enable-python”;
  • Добавлен новый тип плагинов – “audit”, которым отправляются сообщения о успешных и неудачных обращениях, а также о возникающих ошибках. Новый тип плагинов позволяет подключать собственные обработчики для ведения логов, не зависящие от штатной функциональности (например, в форме плагина реализован обработчик для записи логов в формате JSON);
  • Добавлен новый тип плагинов – “approval”, для выполнения дополнительных проверок после успешной базовой проверки полномочий на основе правил в sudoers. В настройках могут указываться несколько плагинов данного типа, но подтверждение на выполнение операции выдаётся только при её одобрении всеми перечисленными в настройках плагинами;
  • Команда “sudo -S” теперь выводит все запросы в стандартный вывод или stderr, без обращения к устройству управления терминалом;
  • В sudoers вместо Cmnd_Alias теперь также допустимо указание Cmd_Alias;
  • Добавлены новые настройки pam_ruser и pam_rhost для включения/выключения установки значений имени пользователя и хоста при настройке сеанса через PAM;
  • Обеспечена возможность указания более одного хэша SHA-2 в командной строке с разделением запятой. SHA-2 хэш также можно использовать в sudoers в связке с ключевым словом “ALL” для определения команд, запуск которых разрешается только при совпадении хэша;
  • В sudo и sudo_logsrvd обеспечено создание дополнительного файла с логом в формате JSON, отражающим информацию о всех параметрах запущенных команд, включая имя хоста. Данный лог используется утилитой sudoreplay, в которой появилась возможность фильтрации команд по имени хоста;
  • Передаваемый через переменную окружения SUDO_COMMAND список аргументов командной строки теперь обрезается до 4096 символов.
Publisher
Оцените автора
AsaDagar
Добавить комментарий