Внедряването на sudo и su в Rust има за цел да подобри сигурността в тези помощни програми
Преди три месеца, Споделяме тук в блога новината за създаването на проекта “Sudo-rs”. от ISRG, който е основател на проекта Let's Encrypt и който насърчава развитието на технологии за повишаване на сигурността на Интернет.
В споменатата публикация споделяме някои от подробностите и характеристиките на проекта, чиято цел е основно да създаде внедрявания на помощните програми SUDO и SU в Rust (можете да се консултирате с публикацията В следващия линк).
Първата стабилна версия на sudo-rs
Причината да спомена това е, че наскоро беше обявено пускането на първата стабилна версия на проекта Sudo-rs, в която инженерите от Ferrous Systems и Tweede Golf участваха в разработката със средства, предоставени от Google, Cisco и Amazon Web Services.
За тези, които не знаят за проекта "Sudo-rs", мога да ви кажа, че това Целта му е да разработи версии на помощните програми SUDO и SU, написани на Rust, проектиран да изпълнява команди от името на други потребители, тъй като SUDO е конзолна помощна програма на Unix-подобни операционни системи за изпълнение на команди с привилегиите на друг потребител, по подразбиране root.
Функциите SUDO и SU в sudo-rs бяха написана от нулата на Rust, който е език, който се използва все повече и се препоръчва в индустрията, тъй като се превърна в един от основните езици за Android и дори в ядрото на Linux поддръжката за него като втори език вече е внедрена. От своя страна Microsoft също спомена няколко пъти намерението си да пренапише ядрото и част от библиотеките на Windows, които съдържа.
Споменава се, че Помощните програми са съвместими с класическите помощни програми SUDO и SU когато е възможно, което ви позволява да използвате sudo-rs като прозрачен заместител на SUDO в типични сценарии Те съответстват на настройките по подразбиране /etc/sudoers в Ubuntu и Debian. Sudo-rs вече е внедрен вместо традиционния пакет SUDO в дистрибуцията на Wolfi Linux, с цел осигуряване на най-високо ниво на сигурност.
Предполага се че Използването на езика Rust за разработване на SU и SUDO ще намали риска от уязвимости причинени от несигурна обработка на паметта и ще елиминират появата на грешки като достъп до област от паметта, след като е била освободена и изчерпване на паметта на границите на буфера.
Освен това, за да се осигури подходящо ниво на сигурност, проектът е разработил разширен набор от тестове, което също ви позволява да контролирате поддържането на необходимото ниво на съвместимост с оригиналната помощна програма sudo. За да се намали повърхността на атаката и да се намали броят на потенциалните уязвимости в sudo-rs, беше решено да се изостави внедряването на рядко използваната функционалност sudo.
От разликите със SUDO, се споменава, че режимът use_pty по подразбиране е включен, между принципно нереализирани функции са mail_badpass, както и поддръжка за sendmail, докато функции, които все още не са внедрени, но ще бъдат добавени в бъдеще: помощна програма sudoedit, режими NOEXEC и NOINTERCEPT, поддръжка за свързване на конфигурационни блокове "по подразбиране" към отделни потребители и команди, възможност за удостоверяване без да използвате PAM.
Струва си да се спомене, че през този месец септември се очаква да може да се потвърди качеството на внедряването и че също така е планиран независим одит на кодовата база sudo-rs.
Освен това се споменава, че Във втората версия се планира да се добавят инструменти за работа в многопотребителска среда, като например режим NOEXEC, добавяне на регистрационни файлове за одит, предоставяне на потребителите на sudoers възможност за картографиране на хостове и внедряване на поддръжка за до 16 потребителски групи. Третата версия е планирана да поддържа конфигурация на sudoers използвани във Fedora, в допълнение към добавянето на помощната програма sudoedit и използвайте механизмите SELinux и AppArmor за повишаване на сигурността.
Накрая Ако се интересувате да научите повече за товаили можете да проверите подробностите В следващия линк.