Выпуск sudo 1.9.014.05.2020 12:36

Спустя 9 лет после формирования ветки 1.8.x опубликован новый значительный выпуск утилиты sudo 1.9.0, используемой для организации выполнения команд от имени других пользователей.

Ключевые изменения:

  • В состав включён фоновый процесс sudo_logsrvd, предназначенный для централизованного ведения логов с других систем. При сборке sudo c опцией »--enable-openssl» данные передаются через шифрованный канал связи (TLS). Настройка отправки логов осуществляется при помощи опции log_servers в sudoers. Для отключения поддержки нового механизма отправки логов добавлены опции »--disable-log-server» и »--disable-log-client». Для тестирования взаимодействия с сервером или отправки существующих логов предложена утилита sudo_sendlog;
  • Добавлена возможность разработки плагинов для sudo на языке Python, которая включается при сборке с опцией »--enable-python»;
  • Добавлен новый тип плагинов — «audit», которым отправляются сообщения о успешных и неудачных обращениях, а также о возникающих ошибках. Новый тип плагинов позволяет подключать собственные обработчики для ведения логов, не зависящие от штатной функциональности (например, в форме плагина реализован обработчик для записи логов в формате JSON);
  • Добавлен новый тип плагинов — «approval», для выполнения дополнительных проверок после успешной базовой проверки полномочий на основе правил в sudoers. В настройках могут указываться несколько плагинов данного типа, но подтверждение на выполнение операции выдаётся только при её одобрении всеми перечисленными в настройках плагинами;
  • Команда «sudo -S» теперь выводит все запросы в стандартный вывод или stderr, без обращения к устройству управления терминалом;
  • В sudoers вместо Cmnd_Alias теперь также допустимо указание Cmd_Alias;
  • Добавлены новые настройки pam_ruser и pam_rhost для включения/выключения установки значений имени пользователя и хоста при настройке сеанса через PAM;
  • Обеспечена возможность указания более одного хэша SHA-2 в командной строке с разделением запятой. SHA-2 хэш также можно использовать в sudoers в связке с ключевым словом «ALL» для определения команд, запуск которых разрешается только при совпадении хэша;
  • В sudo и sudo_logsrvd обеспечено создание дополнительного файла с логом в формате JSON, отражающим информацию о всех параметрах запущенных команд, включая имя хоста. Данный лог используется утилитой sudoreplay, в которой появилась возможность фильтрации команд по имени хоста;
  • Передаваемый чрез переменную окружения SUDO_COMMAND список аргументов командной строки теперь обрезается до 4096 символов.



Источник: http://www.opennet.ru/opennews/art.shtml? num=52950

© OpenNet