what s new in sudo 1 8
play

Whats new in Sudo 1.8? Pluggable modules for Sudo - PowerPoint PPT Presentation

Jul 07, 2023 •189 likes •439 views

Whats new in Sudo 1.8? Pluggable modules for Sudo Introduc=on to Sudo Sudo allows a system administrator to give users the ability

  1. What’s ¡new ¡in ¡Sudo ¡1.8? ¡ ¡ Pluggable ¡modules ¡for ¡Sudo ¡

  2. Introduc=on ¡to ¡Sudo ¡ • Sudo ¡allows ¡a ¡system ¡administrator ¡to ¡give ¡ ¡ ¡ ¡ users ¡the ¡ability ¡to ¡run ¡commands ¡as ¡the ¡ super ¡user ¡without ¡having ¡to ¡run ¡a ¡root ¡shell, ¡ or ¡su. ¡ • Sudo ¡logs ¡each ¡command ¡run. ¡ • Command ¡to ¡be ¡run ¡are ¡prefixed ¡with ¡“sudo”. ¡ • The ¡file ¡that ¡determines ¡who ¡can ¡run ¡what ¡is ¡ called ¡the ¡sudoers ¡file. ¡

  3. Brief ¡History ¡of ¡Sudo ¡ • 1980: ¡First ¡version ¡from ¡SUNY/Buffalo ¡ • 1985: ¡Updated ¡version ¡posted ¡to ¡net.sources ¡ • 1986: ¡CU-­‑Boulder ¡version ¡ – Unix ¡System ¡Administra=on ¡Handbook ¡ • 1991: ¡Root ¡Group ¡version ¡ • 1994: ¡I ¡start ¡making ¡releases ¡derived ¡from ¡the ¡ Root ¡Group ¡Sudo ¡

  4. Sudo ¡1.8 ¡Modular ¡Architecture ¡ • Two ¡types ¡of ¡plugins ¡ 1. Policy ¡plugins ¡ • Determine ¡who ¡can ¡do ¡what ¡ • Only ¡one ¡policy ¡plugin ¡may ¡be ¡loaded ¡ ¡ 2. I/O ¡log ¡plugins ¡ • Record ¡the ¡session ¡ • _y ¡input/output ¡ • stdin, ¡stdout, ¡stderr ¡ • More ¡than ¡one ¡I/O ¡log ¡plugin ¡may ¡be ¡loaded ¡

  5. What ¡is ¡this ¡stuff ¡good ¡for? ¡ • In ¡the ¡past, ¡if ¡an ¡organiza=on ¡needed ¡to ¡use ¡a ¡ different ¡security ¡policy ¡for ¡root ¡access, ¡users ¡ had ¡to ¡use ¡the ¡u=li=es ¡provided ¡with ¡that ¡ policy. ¡ – I.E. ¡replace ¡sudo ¡with ¡something ¡else ¡ • Now, ¡a ¡policy ¡plugin ¡can ¡be ¡used ¡instead ¡ – No ¡longer ¡need ¡to ¡stop ¡using ¡sudo ¡ • Your ¡workflow ¡doesn’t ¡have ¡to ¡change ¡ • Sudo ¡behaves ¡just ¡like ¡it ¡always ¡did ¡

  6. What ¡is ¡this ¡stuff ¡good ¡for? ¡ • Organiza=ons ¡may ¡have ¡a ¡requirement ¡to ¡ audit ¡root ¡access ¡sessions ¡ – SOX, ¡HIPPA, ¡etc ¡ • I/O ¡logging ¡since ¡Sudo ¡1.7.3 ¡ – Logged ¡to ¡a ¡local ¡file ¡ • Replay ¡logs ¡via ¡sudoreplay ¡ • Syslog ¡unsuitable ¡due ¡to ¡large ¡amount ¡of ¡traffic ¡ – If ¡local ¡logs ¡are ¡not ¡enough, ¡a ¡plugin ¡can ¡be ¡used ¡

  7. What ¡if ¡I ¡like ¡sudoers? ¡ • Nothing ¡changes ¡ – Sudoers ¡(file ¡or ¡LDAP) ¡is ¡the ¡default ¡policy ¡plugin ¡ • Visudo ¡works ¡the ¡way ¡it ¡always ¡has ¡ • No ¡changes ¡to ¡logging, ¡etc ¡ – Sudoers ¡I/O ¡log ¡plugin ¡logs ¡to ¡the ¡local ¡host, ¡just ¡ like ¡in ¡Sudo ¡1.7 ¡ • Sessions ¡can ¡be ¡replayed ¡with ¡sudoreplay ¡ • Compressed ¡with ¡zlib ¡by ¡default ¡(gzip) ¡

  8. Plugin ¡API ¡Design ¡Decisions ¡ Two ¡main ¡approaches ¡to ¡modules: ¡ • ¡ ¡Fine ¡grained ¡– ¡lots ¡of ¡hooks ¡ – Logging, ¡authen=ca=on, ¡policy ¡sources, ¡etc ¡ – Pros ¡ • Easier ¡to ¡replace ¡only ¡certain ¡parts ¡of ¡sudo ¡ • Simple ¡modules ¡might ¡be ¡smaller ¡ – Cons ¡ • Much ¡more ¡complicated ¡API ¡ • harder ¡to ¡plug ¡in ¡a ¡totally ¡foreign ¡policy ¡server ¡

  9. Plugin ¡API ¡Design ¡Decisions ¡ • Coarse ¡grained ¡– ¡module ¡does ¡most ¡things ¡ • Pros: ¡ – Simpler ¡API ¡ – Architecture ¡less ¡limi=ng ¡ • Cons: ¡ – modules ¡may ¡duplicate ¡exis=ng ¡sudoers ¡ func=onality ¡

  10. We ¡have ¡it ¡both ¡ways! ¡ • The ¡current ¡plugin ¡API ¡is ¡coarse-­‑grained ¡with ¡a ¡ small ¡number ¡of ¡entry ¡points. ¡ • Sudoers ¡plugin ¡already ¡somewhat ¡modular ¡ – Sudoers ¡file ¡vs. ¡LDAP ¡using ¡nsswitch.conf ¡ • Could ¡support ¡pluggable ¡sudoers ¡sources ¡ – if ¡there ¡is ¡demand ¡for ¡it… ¡ – Non-­‑Unix ¡group ¡provider ¡plugin ¡API ¡ • Ac=ve ¡Directory ¡groups, ¡alternate ¡group ¡file ¡ • Details ¡later… ¡

  11. Who ¡Benefits? ¡ • Just ¡our ¡corporate ¡overlords? ¡ – No! ¡ • Several ¡open ¡source ¡plugins ¡in ¡development ¡ – FreeIPA ¡security ¡server ¡ – University ¡of ¡Colorado ¡extended ¡LDAP ¡plugin ¡ – I/O ¡module ¡for ¡sslogger ¡ – I ¡plan ¡to ¡work ¡on ¡a ¡revamped ¡sudoers ¡format ¡

  12. /etc/sudo.conf ¡ • Configures ¡plugins ¡and ¡plugin-­‑agnos=c ¡paths ¡ • Plugin ¡plugin_symbol ¡plugin_path ¡ – Plugin ¡sudoers_policy ¡sudoers.so ¡ – Plugin ¡sudoers_io ¡/usr/libexec/sudoers.so ¡ – The ¡“plugin_symbol” ¡is ¡the ¡variable ¡holding ¡the ¡ policy_plugin ¡ or ¡ io_plugin ¡ struct ¡ – If ¡“plugin_path” ¡not ¡fully ¡qualified, ¡it ¡is ¡rela=ve ¡to ¡ the ¡libexec ¡dir ¡

  13. /etc/sudo.conf ¡ • Path ¡name ¡pathname ¡ – Currently ¡only ¡used ¡to ¡specify ¡the ¡askpass ¡GUI ¡ prompter. ¡ • Path ¡askpass ¡/usr/X11R6/bin/ssh-­‑askpass ¡ • Path ¡askpass ¡/usr/libexec/ssh/gnome-­‑ssh-­‑askpass ¡ – In ¡Sudo ¡1.7 ¡the ¡askpass ¡path ¡was ¡set ¡in ¡sudoers ¡ – Because ¡user ¡interac=on ¡is ¡via ¡the ¡main ¡sudo ¡ driver, ¡not ¡a ¡plugin, ¡askpass ¡must ¡be ¡specified ¡in ¡ sudo.conf ¡

  14. Sudo ¡1.8 ¡Flow ¡of ¡Control ¡ • Sudo ¡parses ¡command ¡line ¡op=ons ¡ • Reads ¡/etc/sudo.conf ¡ • Ini=alizes ¡plugins ¡with ¡user ¡info ¡and ¡command ¡ line ¡op=ons ¡ • Sudo ¡queries ¡plugin ¡with ¡command ¡ – User ¡interac=on ¡via ¡conversa=on ¡func=on ¡ – Plugin ¡returns ¡yes, ¡no, ¡or ¡error ¡answer ¡ – Also ¡sets ¡up ¡the ¡execu=on ¡environment ¡

  15. Sudo ¡1.8 ¡Flow ¡of ¡Control ¡ • Sudo ¡runs ¡the ¡command ¡ – Changes ¡UID/GID, ¡CWD, ¡environment, ¡etc ¡ – If ¡logging ¡I/O ¡ • Command ¡runs ¡in ¡a ¡pty ¡ • I/O ¡passed ¡to ¡I/O ¡plugins ¡for ¡logging ¡ – I/O ¡plugin ¡can ¡also ¡terminate ¡the ¡command ¡ – When ¡command ¡exits, ¡sudo ¡calls ¡plugin ¡close() ¡ func=ons ¡with ¡the ¡exit ¡status ¡(or ¡error ¡value) ¡

  16. Changes ¡to ¡Sudoers ¡File ¡ • askpass ¡serng ¡moved ¡to ¡sudo.conf ¡ – Sudoers ¡module ¡does ¡not ¡prompt ¡user ¡directly ¡ • New ¡iolog_file ¡and ¡iolog_dir ¡serngs ¡ – Where ¡to ¡put ¡I/O ¡logs ¡and ¡how ¡to ¡name ¡them ¡ – Supports ¡escape ¡sequences ¡that ¡expand ¡to ¡user, ¡ group, ¡runas_user, ¡runas_group, ¡hostname, ¡ command, ¡as ¡well ¡as ¡strsime() ¡escapes. ¡ • New ¡group_plugin ¡serng ¡

  17. Sudoers ¡Group ¡Provider ¡Plugin ¡ • Allows ¡sudoers ¡to ¡support ¡non-­‑Unix ¡groups ¡ – Can ¡be ¡useful ¡to ¡work ¡around ¡16 ¡group ¡limit ¡ • Simple ¡API: ¡init, ¡query, ¡cleanup ¡func=ons ¡ • Syntax: ¡ – Explicit: ¡%:groupname ¡ • Only ¡the ¡group ¡provider ¡queried ¡ – Implicit: ¡%groupname ¡ • Only ¡queried ¡if ¡no ¡Unix ¡group ¡by ¡that ¡name ¡exists ¡

  18. Plugin ¡API ¡Walk ¡Through ¡ • Interface ¡described ¡in ¡sudo_plugin.h ¡header ¡ • Plugin ¡writer’s ¡guide ¡bundled ¡with ¡Sudo ¡1.8 ¡in ¡ POD ¡and ¡man ¡formats. ¡Html ¡version ¡at: ¡ h_p://www.sudo.ws/sudo_plugin.man.html ¡ • Switch ¡to ¡shell ¡to ¡talk ¡through ¡sudo_plugin.h ¡

  19. Demo ¡Time! ¡ • Demo ¡to ¡show ¡Sudo ¡1.7.5 ¡vs. ¡1.8.0 ¡ – Works ¡the ¡same ¡ • Edit ¡sudo.conf ¡file ¡to ¡change ¡plugin ¡ • Run ¡commands ¡using ¡custom ¡plugin ¡ • Show ¡I/O ¡logging ¡and ¡_y ¡signal ¡proxying ¡ • Demo ¡session ¡replay ¡using ¡sudoreplay ¡

  20. Debunking ¡the ¡FUD ¡ • A ¡certain ¡vendor ¡has ¡put ¡out ¡a ¡“How ¡Secure ¡is ¡ Your ¡Sudo” ¡whitepaper ¡adver=sed ¡in ¡Linux ¡ Magazine ¡and ¡others. ¡ • Let’s ¡debunk ¡a ¡few ¡of ¡their ¡claims… ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) Overview

What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) Overview

What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) Overview What is sudo From aliases to plugins What is new in 1.9? 2 What is sudo? Answers, depending on experience and size of environment:

580 views • 32 slides
$ sudo tcpdump -i eth0 $ sudo tcpdump -c 5 -i eth0 $ sudo tcpdump

$ sudo tcpdump -i eth0 $ sudo tcpdump -c 5 -i eth0 $ sudo tcpdump

$ sudo tcpdump -i eth0 $ sudo tcpdump -c 5 -i eth0 $ sudo tcpdump -i eth0 not port 22 -a Show all $ netstat -a -n Numeric $ netstat -nr -r Routes -l Listening $ netstat -nalt $ netstat -lx -t

572 views • 55 slides
Whats new in Sudo 1.9? Peter Czanik / One Identity (Balabit) Todd Miller / One Identity

Whats new in Sudo 1.9? Peter Czanik / One Identity (Balabit) Todd Miller / One Identity

Whats new in Sudo 1.9? Peter Czanik / One Identity (Balabit) Todd Miller / One Identity Overview What is sudo? Sudo 1.8 features Whats new in 1.9? 2 What is sudo? Answers, depending on experience and size of environment:

608 views • 42 slides
What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) About me

What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) About me

What you most likely did not know about sudo Peter Czanik / One Identity (Balabit) About me Peter Czanik from Hungary Open Source Evangelist at One Identity -- home of syslog- ng and patron of sudo syslog-ng packaging, support,

421 views • 26 slides
Binding ex post facto Patrick D. Elliott x Yasu Sudo y November 12, 2018 LENLS, Keio University

Binding ex post facto Patrick D. Elliott x Yasu Sudo y November 12, 2018 LENLS, Keio University

Binding ex post facto Patrick D. Elliott x Yasu Sudo y November 12, 2018 LENLS, Keio University Leibniz-Center for General Linguistics x and University College London y Tiis is joint work with Yasu Sudo (University College London). 1 Overview

891 views • 51 slides
Labs #2 WebDev Web ebDe Dev v Lab #1 On your local Ubuntu VM, install the Python and C

Labs #2 WebDev Web ebDe Dev v Lab #1 On your local Ubuntu VM, install the Python and C

Labs #2 WebDev Web ebDe Dev v Lab #1 On your local Ubuntu VM, install the Python and C development tools, then run the app locally sudo apt update sudo apt install python3-dev build-essential git clone

912 views • 62 slides
Loosely-stabilizing Leader Election with Polylogarithmic Convergence Time Yuichi Sudo 1 , Fukuhito

Loosely-stabilizing Leader Election with Polylogarithmic Convergence Time Yuichi Sudo 1 , Fukuhito

OPODIS 2018 Loosely-stabilizing Leader Election with Polylogarithmic Convergence Time Yuichi Sudo 1 , Fukuhito Ooshita 2 , Hirotsugu Kakugawa 1 , Toshimitsu Masuzawa 1 , Ajoy K. Datta 3 , Lawrence L. Larmore 3 1. Osaka University, Japan 2.

758 views • 41 slides
The Effects of Monetary Policy Shocks on Inequality in Japan Masayuki Inui Nao Sudo Tomoaki

The Effects of Monetary Policy Shocks on Inequality in Japan Masayuki Inui Nao Sudo Tomoaki

Motivation Data & Estimation Model Results Conclusion The Effects of Monetary Policy Shocks on Inequality in Japan Masayuki Inui Nao Sudo Tomoaki Yamada 10 November, 2017@Gerzensee The views expressed are those of authors and do

475 views • 45 slides
Bundling KDE 1 / 24 Who am I? 2 / 24 Motivation 3 / 24 Users on supported software 4 / 24

Bundling KDE 1 / 24 Who am I? 2 / 24 Motivation 3 / 24 Users on supported software 4 / 24

Bundling KDE 1 / 24 Who am I? 2 / 24 Motivation 3 / 24 Users on supported software 4 / 24 What? 5 / 24 Installing KDE Applications 6 / 24 Snap sudo snap install kde-frameworks-5 sudo snap install kblocks Harald's Blog 7 / 24

775 views • 24 slides
Muntaseer Billah, Satoru Chatani and Kengo Sudo , S C g S Department of Earth and Environmental

Muntaseer Billah, Satoru Chatani and Kengo Sudo , S C g S Department of Earth and Environmental

Muntaseer Billah, Satoru Chatani and Kengo Sudo , S C g S Department of Earth and Environmental Science Graduate School of Environmental Studies N Nagoya University, Nagoya, Japan U i it N J Presented at the 8th Annual CMAS Conference, Chapel

452 views • 21 slides
Self-Stabilizing Token Distribution with Constant-Space for Trees Yuichi Sudo 1 , Ajoy K. Datta 2

Self-Stabilizing Token Distribution with Constant-Space for Trees Yuichi Sudo 1 , Ajoy K. Datta 2

OPODIS 2018 Self-Stabilizing Token Distribution with Constant-Space for Trees Yuichi Sudo 1 , Ajoy K. Datta 2 , Lawrence L. Larmore 2 , Toshimitsu Masuzawa 1 , 1. Osaka University, Japan 2. The University of Nevada, Las Vegas, USA Token

436 views • 18 slides
Binding back to the future Patrick D. Elliott and Yasu Sudo July 2, 2019 Asymmetries in

Binding back to the future Patrick D. Elliott and Yasu Sudo July 2, 2019 Asymmetries in

Binding back to the future Patrick D. Elliott and Yasu Sudo July 2, 2019 Asymmetries in Language: Presuppositions and beyond Berlin 1 Slides: https://patrl.keybase.pub/slides/berlin-cataphora.pdf 2 L-to-R asymmetry with indefinite

584 views • 32 slides
Malware Nadia Heninger and Deian Stefan UCSD Fall 2019 Some material from Stefan Savage and

Malware Nadia Heninger and Deian Stefan UCSD Fall 2019 Some material from Stefan Savage and

CSE 127: Computer Security Malware Nadia Heninger and Deian Stefan UCSD Fall 2019 Some material from Stefan Savage and David Wagner Vulnerability of the week: Sudo flaw thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html Today

748 views • 39 slides
When the going gets tough, Get TUF going! Riyaz Faizullabhoy - @riyazdf Motivation What is TUF?

When the going gets tough, Get TUF going! Riyaz Faizullabhoy - @riyazdf Motivation What is TUF?

When the going gets tough, Get TUF going! Riyaz Faizullabhoy - @riyazdf Motivation What is TUF? Using TUF Hermetic Builds Where does software come from? $> _ $>curl | sudo bash $>apt-get install authenticity $>apt-get

1.53k views • 114 slides
Sudoku the Maths of Biology Pr oje c t Santa Mar ia Colle ge Na ta lie , Ale xia , Ng o c ,

Sudoku the Maths of Biology Pr oje c t Santa Mar ia Colle ge Na ta lie , Ale xia , Ng o c ,

Sudoku the Maths of Biology Pr oje c t Santa Mar ia Colle ge Na ta lie , Ale xia , Ng o c , Ge o rg ia , Mic he lle , Cindy T he pr oje c t aim le a rn ho w to so lve a Sudo ku puzzle thro ug h a n ite ra tio n me tho d

396 views • 15 slides
The value of repeatable experiments and negative results Dave Tht Bufferbloat.net Sigcomm CCW

The value of repeatable experiments and negative results Dave Tht Bufferbloat.net Sigcomm CCW

The value of repeatable experiments and negative results Dave Tht Bufferbloat.net Sigcomm CCW Aug 18 th , 2014 Installing netperf-wrapper Linux (debian or ubuntu) sudo apt-get install python-matplotlib python-qt4 fping subversion

690 views • 43 slides
Configuring and Analyzing Kernel Crash Dumps Stefan Seyfried B1 Systems GmbH Osterfeldstrae 7

Configuring and Analyzing Kernel Crash Dumps Stefan Seyfried B1 Systems GmbH Osterfeldstrae 7

Configuring and Analyzing Kernel Crash Dumps Stefan Seyfried B1 Systems GmbH Osterfeldstrae 7 85088 Vohburg Germany < seyfried@b1-systems.de > 1 Configuring and Analyzing Kernel Crash Dumps Did you ever want to investigate that

90 views • 6 slides
Security Hardened Kernels for Linux Servers Masters Thesis by Sowgandh Sunil Gadi Thesis

Security Hardened Kernels for Linux Servers Masters Thesis by Sowgandh Sunil Gadi Thesis

Security Hardened Kernels for Linux Servers Masters Thesis by Sowgandh Sunil Gadi Thesis Director: Dr. Prabhaker Mateti Gadi/MSThesis/4-12-2004 1 Outline Problem: Server security Thesis contribution Prevention of buffer overflow

1.28k views • 111 slides
COMPUTER SYSTEM ORGANIZATION User A SOFTWARE VIEW Interface Library Interface Users System

COMPUTER SYSTEM ORGANIZATION User A SOFTWARE VIEW Interface Library Interface Users System

COMPUTER SYSTEM ORGANIZATION User A SOFTWARE VIEW Interface Library Interface Users System Call Standard Utility Programs Interface User (Shell, editors, compilers, etc.) Mode Standard Library (Open/Close, Read/Write, Fork, etc.)

308 views • 28 slides
Octoberfest 2015 Annual Meeting Ottawa, October 31-November 1 - Categories Ann ftamoi ) ( Regular

Octoberfest 2015 Annual Meeting Ottawa, October 31-November 1 - Categories Ann ftamoi ) ( Regular

Stacks CATEGORICAL AND RINGS THEIR MORPHISMS OF ETTORE ALDROVANDI FLORIDA UNIVERSITY STATE Octoberfest 2015 Annual Meeting Ottawa, October 31-November 1 - Categories Ann ftamoi ) ( Regular ) > Picard Categorical Rings a ( Strictly

769 views • 38 slides
Infinite transducers on terms denoting graphs Ir` ene Durand and Bruno Courcelle LaBRI,

Infinite transducers on terms denoting graphs Ir` ene Durand and Bruno Courcelle LaBRI,

Infinite transducers on terms denoting graphs Ir` ene Durand and Bruno Courcelle LaBRI, Universit e de Bordeaux June, 2013 European Lisp Symposium, ELS2013 Objectives What : Compute information about finite graphs Verify properties

683 views • 30 slides
Digital Forensics for SSC Solvers Daniel Kouril EGI CSIRT Digital Forensics Methods to

Digital Forensics for SSC Solvers Daniel Kouril EGI CSIRT Digital Forensics Methods to

Digital Forensics for SSC Solvers Daniel Kouril EGI CSIRT Digital Forensics Methods to collect and analyze (digital) evidence Three basic phases Data collection, Analysis, Reporting Triage Various sources of information

307 views • 20 slides
USER SESSION RECORDING An Open Source solution Fraser Tweedale @hackuador 2017-10-22 ABOUT ME

USER SESSION RECORDING An Open Source solution Fraser Tweedale @hackuador 2017-10-22 ABOUT ME

USER SESSION RECORDING An Open Source solution Fraser Tweedale @hackuador 2017-10-22 ABOUT ME Working at Red Hat Platform Engineering (Security) FreeIPA and Dogtag Certificate System 2 User Session Recording: An Open Source

618 views • 45 slides
Lecture 11: Parallelism and Locality in Scientific Codes David Bindel 1 Mar 2010 Logistics

Lecture 11: Parallelism and Locality in Scientific Codes David Bindel 1 Mar 2010 Logistics

Lecture 11: Parallelism and Locality in Scientific Codes David Bindel 1 Mar 2010 Logistics Thinking about projects: Informal proposal in one week (March 8) Free-for-all at end of class HW 2 notes (how I spent my weekend) Code

430 views • 30 slides

More recommend