En el mundo de la seguridad en Linux, las herramientas que gestionan los privilegios de los sistemas operativos desempeñan un papel crucial. Entre ellas, las utilidades sudo
y su
están a la vanguardia, facilitando un acceso privilegiado en prácticamente todos los sistemas operativos de código abierto que alimentan Internet. Sin embargo, estas herramientas no han sido ajenas a problemas de seguridad, en particular, problemas relacionados con la seguridad de la memoria.
La historia detrás de sudo-rs
sudo
y su
han tenido su cuota de vulnerabilidades debido a problemas de seguridad de la memoria. En respuesta a este desafío, se lanzó un proyecto llamado sudo-rs
, que tiene como objetivo reescribir estas utilidades en Rust, un lenguaje de programación conocido por su seguridad en memoria.
Apenas 10 meses después del inicio del proyecto, ya contamos con una primera versión estable, lista para ser probada. Aunque las auditorías externas de seguridad están en marcha, el viaje todavía tiene etapas pendientes. Curiosamente, el desarrollo de sudo-rs
ha sido tan meticuloso que incluso se han descubierto fallos en el sudo original, escrito en C.
¿Qué diferencia a sudo-rs del sudo original?
El nuevo sudo-rs
difiere en ciertos aspectos del sudo
original:
- Menos funcionalidad por diseño, con errores claros para las características no implementadas.
- Configuraciones específicas, como
use_pty
, que están habilitadas por defecto. - Algunas funcionalidades, como
sudoedit
y medidas de seguridad específicas, aún no están implementadas. - El archivo sudoers debe ser válido en UTF-8.
Además, sudo-rs
utiliza PAM para la autenticación, lo que significa que los sistemas deben estar configurados para PAM.
Un Cambio Significativo en la Seguridad
Prossimo, la entidad detrás de sudo-rs
, se complace en presentar esta versión, que busca mejorar considerablemente la seguridad del sudo
tradicional. Parte de las mejoras incluyen:
- Uso de Rust, un lenguaje seguro en memoria.
- Exclusión de características menos comunes para reducir la superficie de ataque.
- Una amplia suite de pruebas que ha identificado errores en el
sudo
original.
Es notable que el sistema operativo Wolfi Linux ya ha incorporado sudo-rs
en su núcleo, y se espera que otros sigan su ejemplo.
Agradecimientos y Futuro del Proyecto
Prossimo ha podido emprender este ambicioso proyecto gracias al apoyo de financiadores de todo el mundo, incluida la NLnet Foundation y Amazon Web Services. También se destaca la invaluable contribución de Todd C. Miller, quien ha mantenido la versión original de sudo
durante muchos años y ha ofrecido asesoramiento esencial en el desarrollo de sudo-rs
.
Con la auditoría de seguridad programada para septiembre de 2023 y un enfoque en las características empresariales en el futuro, el viaje de sudo-rs
promete seguir fortaleciendo la seguridad en el mundo del software de código abierto.
Más información de sudo-rs en GitHub.