sudo 1.9.0 lançado com várias melhorias de segurança e mais

Confira as novidades do lançamento do sudo 1.9.0 e veja como instalar no seu sistema Linux!

E finalmente foi lançado o sudo 1.9.0 com várias melhorias de segurança e mais. Confira as novidades e veja como instalar no seu sistema Linux.

Sudo é o utilitário mais essencial usado em sistemas operacionais semelhantes ao Unix, como Linux, BSD ou Mac OS X, pois ele permite que os usuários executem programas com os privilégios de segurança de outro usuário (geralmente o usuário root) com segurança, tornando-se temporariamente superusuário.

sudo 1.9.0 lançado com várias melhorias de segurança e mais
sudo 1.9.0 lançado com várias melhorias de segurança e mais

Por padrão, o usuário deve se autenticar com sua senha ao executar o sudo. Depois que o usuário é autenticado e se o arquivo de configuração /etc/sudoers permitir que o usuário acesse o comando necessário, o sistema o executa.

Existe uma opção para ativar o parâmetro NOPASSWD para evitar a inserção da senha do usuário ao executar o comando. O arquivo de configuração /etc/sudoers especifica quais usuários podem executar quais comandos em nome de quais outros usuários.

Como o sudo é muito rigoroso com o formato deste arquivo e qualquer erro pode causar problemas sérios, existe o utilitário visudo; Esta opção é usada para verificar se o arquivo /etc/sudoers não está sendo usado em outra sessão do usuário root, evitando assim várias edições com possíveis danos ao arquivo.

Agora, após 9 anos da formação do ramo 1.8.x do sudo, finalmente foi anunciado o lançamento de uma nova versão significativa desse, o sudo 1.9.0, e com isso, também iniciou-se uma nova ramificação.

Novidades do sudo 1.9.0

Esta nova versão destaca o trabalho realizado para fornecer à composição o processo em segundo plano “sudo_logsrvd”, projetado para o registro centralizado de outros sistemas.

Criando o sudo com a opção “–enable-openssl”, os dados são transmitidos através de um canal de comunicação criptografado (TLS).

O log é configurado usando a opção log_servers em sudoers e para desativar o suporte ao novo mecanismo de envio de logs, as opções “–disable-log-server” e “–disable-log-client” foram adicionadas.

Além disso, foi adicionado um novo tipo de “auditoria” de plug-in, que envia mensagens sobre chamadas bem-sucedidas e mal sucedidas, bem como erros que ocorrem, bem como um novo tipo de plug-in que permite conectar seus próprios drivers para efetuar login e que não dependem da funcionalidade padrão.

Por exemplo, um manipulador para gravar registros no formato JSON é implementado na forma de um plug-in.)

Também adicionei um novo tipo de plug-in de “aprovação” que serve para executar verificações adicionais após uma verificação de autorização básica baseada em regras bem-sucedida em sudoers.

Vários desses plugins podem ser especificados na configuração, mas a confirmação da operação é emitida apenas quando aprovada por todos os plugins listados na configuração.

No sudo e sudo_logsrvd, um arquivo de log adicional é criado no formato JSON, que reflete as informações sobre todos os parâmetros dos comandos em execução, incluindo o nome do host.

Este registro é usado pelo utilitário sudoreplay, no qual é possível filtrar comandos pelo nome do host.

A lista de argumentos da linha de comando passada pela variável de ambiente SUDO_COMMAND agora está truncada para 4096 caracteres.

Das outras mudanças que se destacam no anúncio:

  • O comando sudo -S agora imprime todas as solicitações na saída padrão ou stderr, sem acessar o dispositivo de controle do terminal.
  • Para testar a interação com o servidor ou enviar logs existentes, é proposto o utilitário sudo_sendlog;
  • Adicionada a capacidade de desenvolver plugins para o sudo no Python, que é ativado durante a compilação com a opção “–enable-python”.
  • Em sudoers, em vez de Cmnd_Alias, Cmd_Alias ​​agora também é válido.
  • Novas configurações de pam_ruser e pam_rhost foram adicionadas para ativar / desativar as configurações de nome de usuário e host ao configurar uma sessão através do PAM.

É possível especificar mais de um hash SHA-2 em uma linha de comando separada por vírgula. O hash SHA-2 também pode ser usado em sudoers em conjunto com a palavra-chave “ALL” para definir comandos que só podem ser executados quando o hash corresponder.

Para saber mais sobre essa versão do sudo, acesse a nota de lançamento.

Como instalar ou atualizar o sudo 1.9.0

O sudo é instalado por padrão em boa parte das distribuições Linux. Por isso, a melhor forma obter a versão mais recente desse aplicativo é simplesmente manter seu sistema sempre atualizado.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…