Discussion :

[Jade Emy]

Ubuntu sera la première grande distribution Linux à adopter sudo-rs, une réimplémentation à sécurité mémoire de l'utilitaire sudo largement utilisé, écrit dans le langage de programmation Rust.

Avec Ubuntu 25.10, Canonical prévoit d'utiliser davantage de composants système écrits en Rust et, jusqu'à présent, la plupart des discussions ont porté sur la transition vers Rust Coreutils « uutils » à la place de GNU Coreutils. Il a également été confirmé que Canonical prévoit d'utiliser sudo-rs par défaut en remplacement de sudo. Le projet sudo-rs est en développement depuis plusieurs années en tant qu'implémentation de sudo basée sur Rust, avec une mémoire sécurisée, qui peut servir de remplacement. Le projet sudo-rs est maintenu par la fondation à but non lucratif Trifecta Tech Foundation, qui a confirmé le projet de Canonical d'utiliser sudo-rs par défaut avec Ubuntu 25.10.

En 2023, Amazon Web Services a financé un projet de réécriture de sudo et su dans le langage de programmation Rust afin d'augmenter la sécurité de la mémoire pour les logiciels largement utilisés et pour améliorer davantage la sécurité Linux/open-source. Cette initiative confirme une tendance à remédier aux nombreuses vulnérabilités liées à des problèmes de sécurité de la mémoire.

C'est dans cette optique que Ubuntu 25.10 devrait adopter par défaut l'utilitaire sudo-rs. Sudo-rs est une réimplémentation à sécurité mémoire de l'utilitaire sudo, largement utilisé, écrit dans le langage de programmation Rust. Cette décision s'inscrit dans le cadre d'un effort plus large de Canonical visant à améliorer la résilience et la maintenabilité des principaux composants du système. Sudo-rs est développé par la Trifecta Tech Foundation (TTF), une organisation à but non lucratif qui crée des blocs de construction sécurisés et open source pour les logiciels d'infrastructure.

La décision d'adopter sudo-rs est conforme à l'engagement de Canonical d'augmenter prudemment mais volontairement la résilience des logiciels système critiques, en adoptant Rust. Rust est un langage de programmation qui offre de solides garanties en matière de sécurité de la mémoire et qui élimine de nombreuses vulnérabilités qui ont historiquement affecté les logiciels traditionnels basés sur le langage C.

Sudo-rs fait partie de l'initiative Privilege Boundary de la Trifecta Tech Foundation, qui vise à gérer l'escalade des privilèges à l'aide d'alternatives sûres pour la mémoire.

Bien qu'aucun logiciel - quel que soit le langage - ne soit parfait, nous pensons que la transition vers Rust dans la programmation des systèmes est un pas en avant vital. Il est très excitant de voir Ubuntu s'engager en faveur de sudo-rs et jouer un rôle de premier plan pour faire avancer les choses.

Préparation à l'adoption générale par les distributions Linux

Pour préparer l'adoption générale, les mainteneurs de sudo-rs achèveront les travaux décrits dans le plan de travail de l'étape 5 du projet :

• La prévention des évasions de l'interpréteur de commandes (NOEXEC) à gros grain sur Linux
• La possibilité de contrôler les profils AppArmor
• sudoedit
• La prise en charge des noyaux Linux antérieurs à la version 5.9, utilisée par Ubuntu 20.04 LTS.

Canonical sponsorise cette étape pour faire de sudo-rs une implémentation encore meilleure de la commande sudo. Avec les fonctionnalités ci-dessus, plus d'utilisateurs et d'administrateurs système devraient être en mesure d'utiliser sudo-rs sans aucun changement dans leur flux de travail actuel.

Les responsables de sudo-rs s'en tiennent à l'approche "moins c'est plus" : certaines fonctionnalités du sudo original ne seront pas implémentées dans sudo-rs si elles ne servent que des cas d'utilisation très spécialisés. Les mainteneurs poursuivent leur collaboration avec Todd Miller, le mainteneur de sudo en place depuis plus de trente ans, améliorant ainsi indirectement le sudo original en tant que sous-produit de cet engagement.

Je suis ravi d'investir dans des logiciels critiques de bas niveau. Ubuntu est le système d'exploitation Linux le plus largement déployé, et en choisissant d'adopter sudo-rs, j'espère accélérer le chemin vers une adoption plus large à travers l'écosystème Linux.

Canonical prévoit de faire de sudo-rs la version par défaut d'Ubuntu 25.10. Cela laissera le temps aux utilisateurs finaux d'effectuer des tests d'acceptation et permettra de s'assurer que sudo-rs a été testé avant d'être inclus dans la prochaine version de support à long terme (LTS) : Ubuntu 26.04 LTS, qui sera supportée pendant au moins 12 ans. Nous sommes impatients d'apprendre de la communauté comment nous pouvons encore améliorer sudo-rs.

Voici l'annonce de Canonical :

Adoption de sudo-rs par défaut dans Ubuntu 25.10

Introduction

Suite à la publication de Carefully But Purposefully Oxidising Ubuntu, Ubuntu sera la première distribution Linux majeure à adopter sudo-rs comme implémentation par défaut de sudo, en partenariat avec la Trifecta Tech Foundation.

Le changement sera effectif à partir de la sortie d'Ubuntu 25.10.

Qu'est-ce que sudo-rs ?

sudo-rs est une réimplémentation de l'outil sudo traditionnel, écrit en Rust. Il est développé par la Trifecta Tech Foundation (TTF), une organisation à but non lucratif qui se concentre sur la construction de composants d'infrastructure sécurisés et open source. Le projet fait partie de l'initiative Privilege Boundary de la Trifecta Tech Foundation, qui vise à gérer l'escalade des privilèges à l'aide d'alternatives sûres pour la mémoire.

La commande sudo a longtemps servi de moyen défacto d'escalade des privilèges sous Linux. Comme décrit dans le billet original, Rust fournit de fortes garanties contre certaines classes de problèmes de sécurité de la mémoire, ce qui est essentiel pour les composants à la limite des privilèges.

L'équipe sudo-rs collabore avec Todd Miller, qui maintient le sudo original depuis plus de trente ans. sudo-rs ne doit pas être considéré comme une bifurcation, mais plutôt comme une poignée de main entre plusieurs générations de systèmes sécurisés. Tout au long du développement de sudo-rs, l'équipe TTF a également contribué à l'amélioration de l'implémentation originale de sudo.

Le projet sudo-rs est conçu pour remplacer l'outil original. Pour la grande majorité des utilisateurs, la mise à jour devrait être complètement transparente pour leur flux de travail. Cela dit, sudo-rs n'est pas une réimplémentation « aveugle ». Les développeurs ont adopté une approche « moins, c'est plus ». Cela signifie que certaines fonctionnalités de la version originale de sudo peuvent ne pas être réimplémentées si elles ne servent qu'une niche, ou si elles sont considérées comme des pratiques « dépassées ».

Erik Jonkers, président de la Trifecta Tech Foundation, explique : "Bien qu'aucun logiciel - quel que soit le langage - ne soit parfait, nous pensons que la transition vers Rust dans la programmation des systèmes est un pas en avant vital, et il est très excitant de voir Ubuntu s'engager en faveur de sudo-rs et prendre les devants pour faire avancer les choses."

Sponsoriser l'adoption par le grand public

L'adoption par le grand public d'un substitut à un outil aussi universellement connu s'accompagne de responsabilités. Avant de s'engager à livrer sudo-rs dans Ubuntu 26.04 LTS, nous testerons la transition dans Ubuntu 25.10. Nous sponsorisons également le développement de certains éléments spécifiques, qui se sont manifestés en tant que jalon 5 dans le projet en amont :

• Prévention des évasions de shell à gros grain (NOEXEC) sur Linux
• La possibilité de contrôler les profils AppArmor
• Une implémentation de sudoedit
• La prise en charge des noyaux Linux antérieurs à la version 5.9

Le dernier point peut sembler déplacé, mais comme Ubuntu 20.04 LTS est toujours supporté, sans ce travail, il pourrait y avoir des situations où sudo ne fonctionnerait pas si, par exemple, un conteneur OCI 26.04 LTS était exécuté sur un hôte 20.04 LTS !

L'équipe a également déjà commencé à travailler pour s'assurer que la suite de tests est aussi compatible que possible avec Ubuntu, afin de s'assurer que tout problème soit détecté rapidement.

Il ne s'agit pas seulement de livrer un nouveau binaire. Il s'agit de définir une direction. Nous n'abandonnons pas le C, ni même ne réécrivons tous les utilitaires nous-mêmes, mais en choisissant de remplacer l'un des outils les plus critiques pour la sécurité du système par une alternative sûre pour la mémoire, nous faisons une déclaration : la résilience et la durabilité ne sont pas optionnelles dans l'avenir de l'infrastructure ouverte.

Progrès de coreutils

Depuis l'annonce initiale, nous avons travaillé dur pour définir plus clairement un plan de migration vers uutils coreutils dans la version 25.10 et au-delà. De la même manière que nous nous sommes engagés avec la Trifecta Tech Foundation, nous sponsorisons également le projet uutils pour nous assurer que certaines lacunes clés sont comblées avant la livraison de la version 25.10. Le parrainage couvrira principalement le développement du support SELinux pour les commandes courantes telles que mv, ls, cp, etc.

La première étape du développement du support SELinux a été d'ajouter le support des tests automatisés dans Github Actions, depuis lors les mainteneurs ont commencé à travailler sur l'implémentation réelle.

L'autre fonctionnalité que nous sponsorisons est la prise en charge de l'internationalisation. Actuellement, certaines implémentations d'utilitaires (comme sort) ont une compréhension incomplète des locales, et peuvent donc produire des résultats inattendus. Nous espérons que ces deux fonctionnalités seront disponibles à temps pour la version 25.10, et nous continuerons à travailler avec le projet uutils tout au long du cycle 26.04 LTS afin de combler les lacunes que nous aurons identifiées dans la version intermédiaire.

L'une des principales préoccupations soulignées dans le billet de Julian concerne la taille des binaires. Nous avons quelques astuces pour réduire cette taille, et des discussions ont déjà été entamées en amont dans Debian sur la manière d'y parvenir. Il y a aussi des implications de sécurité, comme le manque de support d'AppArmor pour les binaires multi-appels. Nous travaillons actuellement avec les amonts respectifs pour discuter de la résolution systématique de ce problème, mais dans l'intervalle, nous pourrions avoir besoin de construire de petits binaires enveloppants pour permettre la compatibilité avec les profils AppArmor existants dès le départ.

Mécanismes de migration

Julian Klode a posté récemment sur le Discourse Ubuntu un plan d'empaquetage qui nous permettra à la fois de migrer de manière transparente vers uutils coreutils, mais aussi de fournir un moyen pratique pour les utilisateurs de se retirer et de revenir à GNU coreutils s'ils le souhaitent, ou s'ils identifient une lacune dans la nouvelle implémentation. Je m'attends à ce que cela soit rare, mais nous voulons nous assurer qu'il est aussi facile que possible de revenir en arrière, et nous documenterons cela en détail avant la publication.

Remplacer coreutils n'est pas aussi simple que d'échanger les binaires. En tant que paquet Essential, son remplacement doit fonctionner immédiatement au déballage sans dépendre des scripts du mainteneur, et sans conflit de fichiers entre les paquets. Pour résoudre ce problème, nous introduisons de nouveaux paquets coreutils-from-utils et coreutils-from-gnu, ainsi que coreutils-from lui-même.

Le travail d'empaquetage nécessaire pour passer à sudo-rs est un peu moins compliqué qu'avec coreutils. Le paquet est déjà disponible dans Ubuntu (que vous pouvez toujours tester sur Ubuntu 24.04, 24.10 et 25.04 avec oxidizr 5 !), mais contrairement à coreutils, sudo n'est pas un paquet Essential, nous pourrons donc utiliser le système Debian alternatives pour la transition.

Résumé

Les choses avancent bien. Nous avons établi des relations solides et productives et nous sponsorisons le travail en amont pour rendre ces transitions viables.

Nous avons une stratégie pour migrer l'implémentation par défaut de coreutils et de sudo dans Ubuntu 25.10, ce qui permettra un retour en arrière transparent dans les cas où cela est souhaité. Alors que sudo-rs sera l'implémentation par défaut dans la version 25.10, le sudo original restera disponible pour les utilisateurs qui en ont besoin, et nous recueillerons des commentaires pour assurer une transition en douceur avant la version 26.04 LTS.

De plus, nous avons commencé à étudier la faisabilité de fournir SequoiaPGP et de l'utiliser dans APT à la place de GnuPG. SequoiaPGP est une nouvelle bibliothèque OpenPGP qui met l'accent sur la sécurité et la correction, écrite en Rust. Les mainteneurs de GnuPG ont récemment bifurqué vers le standard OpenPGP et ne sont plus en conformité avec celui-ci. Sequoia fournit une alternative moderne à GnuPG avec un comportement strict, et est déjà utilisé dans plusieurs autres systèmes. Plus de détails à venir !

Restez à l'écoute !

Sources : Trifecta Tech Foundation; Canonical, l'éditeur d'Ubuntu

Et vous ?

Pensez-vous que cette décision est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Canonical publie Ubuntu 25.04 Plucky Puffin, avec Linux 6.14, GNOME 48, des "devpacks" pour des frameworks populaires comme Spring, et des améliorations de performance sur une large gamme de matériel

Systemd v256 présente run0 : Une alternative plus sûre à sudo, une nouvelle approche de l'élévation de privilèges sécurisée, visant à éliminer progressivement les binaires SUID traditionnels

Que pensent les développeurs du noyau Linux de Rust ? Le langage est pour d'aucuns une opportunité de combler les faiblesses du C en sécurisation de la mémoire des logiciels et un cancer pour d'autres

[Markand]

Comme beaucoup, je suis passé à doas. Simple, efficace et un fichier de configuration compréhensible en 3 mots.

[air-dex]

Quitte à partir en transition, pourquoi ne pas abandonner bash au profit de Powershell qui est bien mieux conçu ?

[meylodie]

Quitte à partir en transition, pourquoi ne pas abandonner bash au profit de Powershell qui est bien mieux conçu ?

Non non non non…

[meylodie]

Comme beaucoup, je suis passé à doas. Simple, efficace et un fichier de configuration compréhensible en 3 mots.

Dans le détail, quels avantages y trouvez-vous, par rapport à l'actuel sudo ?

[papajoker]

A noter que systemd embarque run0 depuis la version 256
systemd 257 c'est déjà dans unbutu 25.04 il me semble

https://linux.developpez.com/actu/35...traditionnels/

un fichier de configuration compréhensible en 3 mots.

Clairement pas le cas avec run0, puisqu'il utilise la config polkit (c'est du javascript dans 36 fichiers), mais au moins on a la même config polkit/run0 ce qui est un avantage.

[disedorgue]

Moi, j'attend le futur langage frameto...

[Christophe]

Quitte à partir en transition, pourquoi ne pas abandonner bash au profit de Powershell qui est bien mieux conçu ?

D'une part PowerShell est un produit Windows, pas Linux, d'autre part reste à démonter qu'il est mieux.

MAis apperemrent il y a une version Linux :
https://learn.microsoft.com/fr-fr/po...powershell-7.5

Ca dit être limité ou surtout utile pour géer une machine Wndows à distance.

[air-dex]

Non non non non…

D'une part PowerShell est un produit Windows, pas Linux, d'autre part reste à démonter qu'il est mieux.

MAis apperemrent il y a une version Linux :
https://learn.microsoft.com/fr-fr/po...powershell-7.5

Ca dit être limité ou surtout utile pour géer une machine Wndows à distance.

De Powershell je vois surtout :

• Des noms de commandes qui ont du sens, avec leur nomenclature claire "Verbe-Nom" et la volonté de limiter les verbes pour ne pas partir dans tous les sens. Du coup on se retrouve avec des noms bien plus clairs et logiques les uns par rapport aux autres qu'en Bash. C'est plus facile de voir le lien entre un New-Item, un Remove-Item, un Copy-Item et un Move-Item, qu'entre un touch, un rm, un cp et un mv. C'est plus cohérent et logique, et donc plus facile à retenir.
• Des alias pour s'assurer une petite rétrocompatibilité avec des script cmd ou bash simples, ainsi que pour ne pas perdre ceux qui viennent de cmd ou de Bash.
• Des commandes non-WYSIWYG qui facilitent l'utilisation de leurs résultats. C'est simple, pas comme en Bash où il faut se farcir des commandes sed ou awk absolument imbittables pour parser les résultats retournés.
• Une gestion un minimum carrée des paramètres passés aux scripts.
• La puissance de .NET qui propulse Powershell. C'est plus simple pour manipuler des strings dans un script, par exemple.
• Désormais un minimum de multiplateforme, là où Bash et cmd bon voilà quoi.

Certes Powershell n'est pas parfait, surtout sur Linux. Mais on sent que ceux qui l'ont conçu se sont posés les bonnes questions et y ont bien répondu sur bien des aspects. C'est pour ça que je le qualifie "bien conçu", pour ne pas dire "moderne".

Par opposition au bon vieux Bash à papa et ses utilisateurs sous syndrome de Stockholm quand il s'agit de commandes des enfers telles que awk et sed, ou encore des noms de commandes avec peu de liens et de logique entre eux.

[Christophe]

En mode interactif, je préfère les commandes courtes telles que cp, rm. mais si cela gène on peut créer des aliases. sur les commandes elles-mêmes ou sur les commandes avec paramètres.
sed et awk sont puissants mais complexes, mais ce sont des commandes externes à Bash. Et il y en a plein d’autres plus simples, plus limitées muas plus facile (commandes pouvant être remplacées par sed et Awk par exemple).

Ce qui ressemblerait le plus au PowerShell sous Linux serait Python.
Powershell est un peu comme une amélioration de cmd d'une part, et intégration de vbscript (amélioré) d'autre part. Il n'a pas tout à fair le même objectif que Bash

Bash est adapté au monde unix/linux, PowerShell au monde Windows

Il est toujours possible d'utiliser Bash sous Windows notamment avec WSL ou PowerShell sous Linux avec les limitations afférentes aux fonctionnements différentes des 2 OS, mais pour être efficace, mieux vaut utiliser l'outil natif de l'OS. Le contraire va être très rarement pertinent.

[Ti-Slackeux]

De Powershell je vois surtout :

• Des noms de commandes qui ont du sens, avec leur nomenclature claire "Verbe-Nom" et la volonté de limiter les verbes pour ne pas partir dans tous les sens. Du coup on se retrouve avec des noms bien plus clairs et logiques les uns par rapport aux autres qu'en Bash. C'est plus facile de voir le lien entre un New-Item, un Remove-Item, un Copy-Item et un Move-Item, qu'entre un touch, un rm, un cp et un mv. C'est plus cohérent et logique, et donc plus facile à retenir.

Je vois pas ou est le problème :
rm : remove
cp : copy
mv : move
cd : change directory
sed : stream editor
pwd : print working directory
rmdir : remove directory
mkdir : make directory

Et c'est pareil dans d'autres langages comme l'assembleur ou dans du langage dédié à la robotique.

Par opposition au bon vieux Bash à papa et ses utilisateurs sous syndrome de Stockholm

Dat LOL ! Je vais même pas relever.

[disedorgue]

A part pwd et cd, je ne vois pas le rapport avec bash ou autre sh

sed,awk,mv,rm,ls,... sont des commande unix/linux/gnu qui n'ont rien à voir avec le shell

powershell intègre peut-être des builtin qui permettent de ce passer de ces commandes, mais en bash, on peut aussi s'en passer sauf pour mv et rm , tous le reste est faisable sans commandes externes