Выпуск sudo 1.9.0
14 мая 2020 года
Спустя 9 лет после формирования ветки 1.8.x опубликован новый значительный выпуск утилиты sudo 1.9.0, используемой для организации выполнения команд от имени других пользователей.
Ключевые изменения:
- В состав включён фоновый процесс sudo_logsrvd, предназначенный для централизованного ведения логов с других систем. При сборке sudo c опцией "--enable-openssl" данные передаются через шифрованный канал связи (TLS). Настройка отправки логов осуществляется при помощи опции log_servers в sudoers. Для отключения поддержки нового механизма отправки логов добавлены опции "--disable-log-server" и "--disable-log-client". Для тестирования взаимодействия с сервером или отправки существующих логов предложена утилита sudo_sendlog;
- Добавлена возможность разработки плагинов для sudo на языке Python, которая включается при сборке с опцией "--enable-python";
- Добавлен новый тип плагинов - "audit", которым отправляются сообщения о успешных и неудачных обращениях, а также о возникающих ошибках. Новый тип плагинов позволяет подключать собственные обработчики для ведения логов, не зависящие от штатной функциональности (например, в форме плагина реализован обработчик для записи логов в формате JSON);
- Добавлен новый тип плагинов - "approval", для выполнения дополнительных проверок после успешной базовой проверки полномочий на основе правил в sudoers. В настройках могут указываться несколько плагинов данного типа, но подтверждение на выполнение операции выдаётся только при её одобрении всеми перечисленными в настройках плагинами;
- Команда "sudo -S" теперь выводит все запросы в стандартный вывод или stderr, без обращения к устройству управления терминалом;
- В sudoers вместо Cmnd_Alias теперь также допустимо указание Cmd_Alias;
- Добавлены новые настройки pam_ruser и pam_rhost для включения/выключения установки значений имени пользователя и хоста при настройке сеанса через PAM;
- Обеспечена возможность указания более одного хэша SHA-2 в командной строке с разделением запятой. SHA-2 хэш также можно использовать в sudoers в связке с ключевым словом "ALL" для определения команд, запуск которых разрешается только при совпадении хэша;
- В sudo и sudo_logsrvd обеспечено создание дополнительного файла с логом в формате JSON, отражающим информацию обо всех параметрах запущенных команд, включая имя хоста. Данный лог используется утилитой sudoreplay, в которой появилась возможность фильтрации команд по имени хоста;
- Передаваемый через переменную окружения SUDO_COMMAND список аргументов командной строки теперь обрезается до 4096 символов.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.