يهدف تطبيق sudo وsu في Rust إلى تحسين الأمان في هذه الأدوات المساعدة.
قبل ثلاثة اشهر، ونشارك هنا في المدونة خبر إنشاء مشروع “Sudo-rs”. بواسطة ISRG، وهو مؤسس مشروع Let's Encrypt والذي يشجع على تطوير التقنيات لزيادة أمان الإنترنت.
في المنشور المذكور نحن نشارك بعض التفاصيل والميزات للمشروع، والتي تهدف أساسًا إلى إنشاء تطبيقات للأدوات المساعدة SUDO وSU، في Rust (يمكنك الرجوع إلى المنشور في الرابط التالي).
أول نسخة مستقرة من Sudo-rs
سبب ذكر هذا هو ذلك مؤخرًا تم الإعلان عن إطلاق النسخة المستقرة الأولى من المشروع Sudo-rs، شارك فيه مهندسون من Ferrous Systems وTweede Golf في التطوير بتمويل مقدم من Google وCisco وAmazon Web Services.
بالنسبة لأولئك الذين لا يعرفون مشروع "Sudo-rs"، أستطيع أن أقول لكم أن هذا والغرض منه هو تطوير إصدارات من الأدوات المساعدة SUDO وSU، مكتوبة بلغة Rust، مصمم لتشغيل الأوامر نيابة عن مستخدمين آخرين، نظرًا لأن SUDO عبارة عن أداة مساعدة لوحدة التحكم على أنظمة التشغيل المشابهة لـ Unix لتشغيل الأوامر بامتيازات مستخدم آخر، بشكل افتراضي.
كانت الوظائف SUDO وSU في sudo-rs مكتوبة من الصفر في الصدأ، وهي لغة يتم استخدامها بشكل متزايد ويوصى بها في الصناعة، لأنها أصبحت واحدة من اللغات الرئيسية لنظام Android وحتى في Linux Kernel تم بالفعل تنفيذ دعمها كلغة برمجة ثانية. من جانبها، ذكرت مايكروسوفت أيضًا في عدة مناسبات عزمها على إعادة كتابة النواة وجزء من مكتبات الويندوز التي تحتوي عليها.
يذكر أن الأدوات المساعدة متوافقة مع الأدوات المساعدة SUDO وSU الكلاسيكية كلما كان ذلك ممكنا، ماذا يسمح لك باستخدام sudo-rs كبديل شفاف لـ SUDO في السيناريوهات النموذجية وهي تطابق إعدادات /etc/sudoers الافتراضية على Ubuntu وDebian. لقد تم بالفعل تنفيذ sudo-rs بدلاً من حزمة SUDO التقليدية في توزيعة Wolfi Linux، وذلك بهدف توفير أعلى مستوى من الأمان.
من المفترض أن سيؤدي استخدام لغة Rust لتطوير SU وSUDO إلى تقليل مخاطر الثغرات الأمنية ناتج عن معالجة غير آمنة للذاكرة وسيؤدي إلى القضاء على حدوث أخطاء مثل الوصول إلى منطقة من الذاكرة بعد تحريرها ونفاد الذاكرة عند حدود المخزن المؤقت.
وبالإضافة إلى ذلك، لضمان المستوى المناسب من الأمن، قام المشروع بتطوير مجموعة موسعة من الاختبارات، والذي يسمح لك أيضًا بالتحكم في الحفاظ على المستوى المطلوب من التوافق مع الأداة المساعدة sudo الأصلية. من أجل تقليل سطح الهجوم وتقليل عدد نقاط الضعف المحتملة في Sudo-rs، تقرر التخلي عن تنفيذ وظيفة Sudo التي نادرًا ما تستخدم.
من الاختلافات مع SUDO، يذكر أن تضمين وضع use_pty الافتراضي، بين تشمل الوظائف غير المنفذة بشكل أساسي mail_badpass، بالإضافة إلى دعم sendmail، في حين أن الميزات التي لم يتم تنفيذها بعد، ولكن سيتم إضافتها في المستقبل: الأداة المساعدة sudoedit، وأوضاع NOEXEC وNOINTERCEPT، ودعم ربط كتل التكوين "الافتراضية" للمستخدمين الفرديين والأوامر، والقدرة على المصادقة دون استخدام بام.
ومن الجدير بالذكر أنه من المتوقع أن نتمكن في شهر سبتمبر من تأكيد جودة التنفيذ وأن يتم التخطيط أيضًا لإجراء تدقيق مستقل لقاعدة كود sudo-rs.
بالإضافة إلى ذلك يذكر أن في الإصدار الثاني، من المخطط إضافة أدوات للعمل في بيئات متعددة المستخدمينمثل وضع NOEXEC، وإضافة سجلات التدقيق، وتزويد المستخدمين sudoers القدرة على تعيين المضيفين وتنفيذ الدعم لما يصل إلى 16 مجموعة مستخدمين. تم التخطيط للإصدار الثالث لدعم تكوين sudoers المستخدمة في فيدورا، فضلا عن إضافة الأداة المساعدة sudoedit واستخدم آليات SELinux وAppArmor لزيادة الأمان.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنهاأو يمكنك التحقق من التفاصيل في الرابط التالي.