Protezione del comando master sysadmin di Linux: Sudo

C’è una nuova versione del comando sudo open-source sudo, e viene fornito con controllo, registrazione e sicurezza migliorati.

Sudo è uno degli strumenti più potenti e pericolosi nella cassetta degli attrezzi dell’amministratore di sistema Unix o Linux. Con esso, un utente normale può eseguire comandi come se fosse il superutente o qualsiasi altro utente. Ora, One Identity , la società dietro l’utilità, ha rilasciato una nuova versione di sudo, chiamata  sudo 1.9 , che offre un controllo, una registrazione e una sicurezza migliori che mai. 

Sudo è uno degli strumenti più potenti e pericolosi nella cassetta degli attrezzi dell'amministratore di sistema Unix o Linux. Con esso, un utente normale può eseguire comandi come se fosse il superutente o qualsiasi altro utente. Ora, One Identity , la società dietro l'utilità, ha rilasciato una nuova versione di sudo, chiamata  sudo 1.9 , che offre un controllo, una registrazione e una sicurezza migliori che mai.

Il Sudo, grazie in gran parte al famoso cartone animato xkcd di Randall Munroe , è famoso. È anche famigerato in alcuni ambienti perché è così facile fare errori di distruzione del sistema come il classico:

$ sudo rm -rf /

Ciò può distruggere il valore di un intero server di dati. 

Ma, nelle mani giuste, è inestimabile. Come scrisse Stan Lee, “Da un grande potere derivano grandi responsabilità”.

Grazie alle nuove modifiche di sudo, sarà ancora più difficile – ma ancora non impossibile – per gli sviluppatori bagnati, fare ancora errori. Questo nuovo sudo “consapevole del rischio” include nuove misure di sicurezza e di gestione 

Questi includono: 

  • Registrazione centralizzata: mentre in precedenza i log I / O Sudo erano archiviati solo localmente, Sudo 1.9 include un demone logging, sudo_logsrvd, che può consolidare e semplificare la registrazione. È possibile utilizzarlo per implementare la registrazione centralizzata su una connessione TLS protetta.
  • Rich auditing: i fornitori di software di terze parti possono sfruttare il plug-in di audit per scrivere un plug-in di terze parti per estrarre i dati dettagliati dalle sessioni Sudo, aiutando nell’auditing e nella revisione delle best practice. Ad esempio, un plug-in di controllo può accedere ai dettagli completi dell’utente che invoca e all’ambiente di esecuzione completo per il comando dato.
  • Approvazione dei comandi just-in-time: consente di scrivere plug-in di terze parti che offrirebbero agli amministratori la possibilità di abilitare le autorizzazioni just-in-time per i comandi Sudo aggiungendo un ulteriore livello di sicurezza. Un plug-in di approvazione viene eseguito dopo che la politica di sicurezza principale (come i sudoer) accetta un comando. La politica di approvazione può eseguire controlli aggiuntivi, potenzialmente interagendo con l’utente. Plugin di approvazione multipli possono essere specificati nel file sudo.conf. Solo se tutti i plug-in di approvazione hanno esito positivo, il comando sarà consentito.
  • Supporto plug-in Python: Sudo 1.9 aggiunge il supporto per plug-in Sudo di terze parti scritti in Python. Alcuni plug-in Python sono già disponibili .

“Sudo 1.9 introduce nuove funzionalità che sono particolarmente utili in un ambiente aziendale. Dalla registrazione centralizzata dei tasti a un framework di plug-in più accessibile, la versione 1.9 crea moltissime nuove possibilità in termini di sicurezza e conformità”, ha affermato Todd Miller, lo sviluppatore del progetto sudo e manutentore. “La flessibilità e l’ubiquità del Sudo ne fanno una componente chiave della strategia di gestione delle identità e degli accessi di un’azienda”.

Sudo 1.9 può lavorare in concerto con One Identity Privilege Manager per Sudo . Questo programma fornisce funzionalità aziendali aggiuntive, come la gestione centralizzata. 

Quasi tutte le distribuzioni Linux verranno automaticamente aggiornate a questa versione. Se non puoi aspettare, il codice è già disponibile nel repository GdoHub sudo .

Fonte: https://www.zdnet.com/article/securing-linuxs-master-sysadmin-command-sudo/#ftag=RSSbaffb68

Autore: Di Steven J. Vaughan-Nichols per Linux e Open Source | 13 maggio 2020-13: 00 GMT (06:49 PDT) | Argomento: sicurezza