Linux Sudo 1.9发布-高度安全

这是续集。
您可以通过以下链接以PDF格式下载本文,以为我们提供支持。

将指南下载为PDF

关门
这是续集。

这是续集。
这是续集。

熟悉Linux或Unix的每个人都知道sudo命令在工具箱中提供的功能。一旦拥有通常所说的“ sudo特权”,您就可以掷出一挺大枪,然后将其滚动。您可以像系统管理员一样发出所有命令,发射所有项目符号并删除所有Linux / Unix剑。这个简单命令的强大功能提供了一个致力于改善其实用性的公司One Identity,该公司设计了sudo版本1.9,具有改进的日志记录,审计,风险意识和安全性。做到了

借助One Identity,sudo具有以下新功能:

1.包含的日志记录守护程序sudo_logsrvd

您可以使用此日志记录守护程序来实现I / O日志的集中式日志记录。这是一个金矿,特别是对于公司而言。就sudo的使用而言,集中式日志记录使查看服务器所发生的事情变得更容易。

2. TLS支持

现在可以通过安全性更高的TLS通道将日志发送到集中式服务器。使用-enable-openssl选项配置sudo时,将激活此功能。

您可以使用新的sudo_sendlog实用工具来测试sudo_logsrvd或将现有的sudo I / O日志发送到中央服务器。

3.支持审核插件类型。

从文档中,审计插件可用于实现接受,拒绝,退出,错误消息以及独立于基础安全策略的自定义日志记录。但是,您可以创建第三方插件,并将其与该功能一起使用,以查看有关sudo会话的详细信息,例如,并根据组织内的策略进行基准测试。这有助于实施可利用丰富审计功能的最佳实践。

4.支持批准插件类型。

如果您希望使用sudo执行的某些命令将在管理员批准后执行,那么您很幸运。现在,您可以编写一个可以与此授权插件一起使用的自定义插件,并且必须在执行特定命令之前授予授权。根据文档,授权插件仅在接受主要安全策略(例如sudoers)运行的命令后运行。授权策略会执行其他检查,并且可能会与用户互动。您可以在sudo.conf文件中指定多个授权插件。仅当所有授权插件都成功时,才允许使用该命令。

5.新的Python支持

Python支持意味着您可以使用相同的API扩展sudo,但是如果使用–enable-python选项配置了senable,则可以使用Python而不是C编写插件。

6.新的PAM会话设置

您可以在PAM会话设置期间使用新的pam_ruser和pam_rhost sudoers设置来启用或禁用PAM远程用户和主机值的设置。

sudo和sudo_logsrvd现在创建一个JSON格式的扩展I / O日志信息文件,其中包含有关已执行命令的其他信息,例如已执行命令(主机名)。

7. Sudoreplay实用程序现在可以在列表模式下匹配主机名。

sudoreplay实用程序用于重播或列出sudo创建的输出日志。在重播期间,sudoreplay可以实时重播会话。现在,列表输出还包括主机名(如果它存在于日志文件中)。

8.错误修复

正如新软件版本所期望的那样,新的sudo版本具有错误修复。一些修复包括:

  • 修复了FreeBSD strsig_test的测试失败
  • 对于sudo -i,如果目标用户的主目录不存在,则sudo会警告该问题,但会在当前工作目录中运行该命令。以前这是一个致命错误。
  • 其他。

参考:https://www.sudo.ws/stable.html#1.9.0

闭幕致辞

新的sudo令人印象深刻。结果,考虑到恶意人员手中的潜在死亡,新功能极大地提高了系统和整个系统的安全性。为了减轻过去大量使用sudo的不良经历,请更新系统以获取新版本并将其配置为满足您的特定要求。以上功能代表主要变化,其他功能未涵盖。有关更改的完整列表, 访问sudo发布页面 请阅读详细信息。

其他人阅读以下内容:

2019在线业务保护

帮助您的云业务成功的5个技巧

在Debian 10(Buster)上安装和配置Foreman 2.x

这是续集。
您可以通过以下链接以PDF格式下载本文,以为我们提供支持。

将指南下载为PDF

关门
这是续集。

这是续集。
这是续集。

Sidebar