推荐新年这几个新sudo功能

尽管我不是程序员，但我最喜欢的 sudo 1.9 新特性是 Python 对插件的支持。你可以用 Python 也能使用 C 语言调用大部分 API。幸运的是，sudo 对性能不敏感，所以运行速度相对较慢的 Python 代码对 sudo 来说不是问题。使用 Python 来扩展 sudo 有很多优势：

更简单、更快速的开发

不需要编译；甚至可以通过配置管理分发代码

许多 API 没有现成的 C 客户端，但有 Python 代码

除了审计和审批插件 API 之外，还有一些其他的 API，你可以用它们做一些非常有趣的事情。

通过使用策略插件 API，你可以取代 sudo 策略引擎。请注意，你将失去大部分的 sudo 功能，而且没有基于 sudoers 的配置。这在小众情况下还是很有用的，但大多数时候，最好还是继续使用 sudoers，并使用审批插件 API 创建额外的策略。如果你想尝试一下，我的提供了一个非常简单的策略：只允许使用 id 命令。再次确认你知道 root 密码，因为一旦启用这个策略，它就会阻止任何实际使用 sudo 的行为。

使用 I/O 日志 API，你可以访问用户会话的输入和输出。这意味着你可以分析会话中发生了什么，甚至在发现可疑情况时终止会话。这个 API 有很多可能的用途，比如防止数据泄露。你可以监控屏幕上的关键字，如果数据流中出现任何关键字，你可以在关键字出现在用户的屏幕上之前中断连接。另一种可能是检查用户正在输入的内容，并使用这些数据来重建用户正在输入的命令行。例如，如果用户输入 rm -fr /，你可以在按下回车键之前就断开用户的连接。

组插件 API 允许非 Unix 组的查找。在某种程度上，这与审批插件 API 类似，因为它也扩展了策略插件。你可以检查一个用户是否属于一个给定的组，并在后面的配置部分基于此采取行动。

sudo 的最新功能是支持 chroot 和改变工作目录（CWD），这两个选项都不是默认启用的，你需要在 sudoers 文件中明确启用它们。当它们被启用时，你可以调整目标目录或允许用户指定使用哪个目录。日志反映了这些设置何时被使用。

在大多数系统中，chroot 只对 root 用户开放。如果你的某个用户需要 chroot，你需要给他们 root 权限，这比仅仅给他们 chroot 权限要大得多。另外，你可以通过 sudo 允许访问 chroot 命令，但它仍然允许漏洞，他们可以获得完全的权限。当你使用 sudo 内置的 chroot 支持时，你可以轻松地限制对单个目录的访问。你也可以让用户灵活地指定根目录。当然，这可能会导致灾难（例如，sudo --chroot / -s），但至少事件会被记录下来。

当你通过 sudo 运行一个命令时，它会将工作目录设置为当前目录。这是预期的行为，但可能有一些情况下，命令需要在不同的目录下运行。例如，我记得使用过一个应用程序，它通过检查我的工作目录是否是 /root 来检查我的权限。

（编辑：衡阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!