En este momento estás viendo ¿Debes desactivar SUDO? Vulnerabilidades críticas y alternativas seguras en Linux

¿Debes desactivar SUDO? Vulnerabilidades críticas y alternativas seguras en Linux

  • Última modificación de la entrada:14 de julio de 2025
  • Tiempo de lectura:4 minutos de lectura
  • Categoría de la entrada:Sin categoría

¿Por qué plantearse desactivar SUDO?

En los últimos días, se han descubierto dos vulnerabilidades críticas en SUDO, la herramienta más usada en Linux para gestionar permisos administrativos. Identificadas como CVE-2025-32462 y CVE-2025-32463, estas fallas permiten a atacantes locales escalar privilegios y tomar el control del sistema incluso con configuraciones aparentemente seguras.

Si bien SUDO es una herramienta confiable y ampliamente adoptada, esto la ha convertido en un blanco frecuente de exploits. Por eso muchos administradores de sistemas están considerando desactivarlo parcial o totalmente y usar métodos alternativos para gestionar privilegios.

En este artículo, exploraremos qué riesgos plantean estas vulnerabilidades, cómo desactivar SUDO en distintas distribuciones Linux, y algunas de las a lternativas más seguras para gestionar permisos de root.

¿Qué hace tan peligrosas estas vulnerabilidades?

CVE-2025-32462: El fallo en --host

  • Un error en la opción -h o --host permite a usuarios locales ejecutar comandos como root, burlando restricciones basadas en Host_Alias.
  • Afecta a versiones de SUDO desde la 1.8.8 hasta la 1.9.17.
  • Gravedad: Crítica (CVSS 9.1).

CVE-2025-32463: Manipulación de chroot y NSS

  • Un atacante puede crear un entorno chroot falso con bibliotecas maliciosas para obtener una shell de root.
  • Afecta a versiones desde la 1.9.14 a la 1.9.17.
  • Gravedad: Crítica (CVSS 8.8).

Si usas una versión vulnerable y no hay parches disponibles, desactivar SUDO puede ser una medida temporal necesaria; planteárselo de manera permanente, desde luego, es lo más seguro. Para saber qué versión tienes

bash:

sudo --help

¿Cómo desactivar SUDO en tu distribución?

Método 1: Eliminar usuarios del grupo sudo (reversible)

La forma más sencilla de desactivar SUDO sin eliminarlo del sistema:

bash en Debian/Ubuntu:

sudo deluser <tu_usuario> sudo

bash en Fedora/RHEL/CentOS:

sudo gpasswd -d wheel

bash en Arch Linux:

sudo gpasswd -d sudo

De esta manera los usuarios ya no podrán usar sudo, pero el paquete seguirá instalado.

Método 2: Desinstalar SUDO totalmente

Si quieres eliminarlo por completo:

bash en Debian/Ubuntu:

sudo apt purge sudo

bash en Fedora/RHEL:

sudo dnf remove sudo

bash en Arch Linux:

sudo pacman -R sudo

Advertencia: Asegúrate de tener otro método para acceder como root (como su o acceso físico); lo más recomendable es tener una sesión root activa antes de proceder..

Método 3: Bloquear SUDO editando /etc/sudoers

Si prefieres no desinstalarlo sino inhabilitar su uso:

bash

sudo visudo

Y añade:

bash:

# Deshabilita todos los usuarios:  
Defaults !authenticate  
# O comenta las líneas que dan permisos:  
# %sudo ALL=(ALL:ALL) ALL

3. Alternativas a SUDO para gestionar permisos

1. Usar su (método tradicional)

Tiene la ventaja de que es más simple, sin vulnerabilidades complejas.

bash:

sudo passwd root  # Establece una contraseña para root  
su -             # Cambia a root (pide contraseña)

Recomendación: Restringe su solo a usuarios de confianza:

bash en /etc/pam.d/su:

auth required pam_wheel.so use_uid group=wheel

2. doas El sucesor minimalista de SUDO

Tiene la ventaja de que tiene menos código lo que resulta en menos vulnerabilidades.

Instalarlo desde bash:

# Debian/Ubuntu:  
sudo apt install opendoas

Configurarlo (/etc/doas.conf):

bash:

permit :wheel # Solo usuarios en el grupo 'wheel' pueden usarlo
deny root # Opcional: evitar acceso directo a root

3. Polkit (para entornos gráficos)

Útil en GNOME, KDE y otros escritorios.

Crear reglas en /etc/polkit-1/rules.d/ para controlar accesos.

Si tienes dudas sobre qué método elegir

SituaciónRecomendación
«Quiero probar sin SUDO»Eliminar usuario del grupo sudo
«Necesito máxima seguridad»Migrar a doas o usar su + PAM
«Uso escritorio gráfico»Polkit + restricciones de grupo
«No quiero eliminar SUDO»Bloquearlo en /etc/sudoers

¿Debes dejar de usar SUDO?

SUDO sigue siendo una herramienta poderosa, pero si:

  • Tienes una versión vulnerable sin parches.
  • Trabajas en entornos de alta seguridad.
  • Prefieres alternativas más simples.

entonces desactivarlo o reemplazarlo puede ser una decisión inteligente.

Fuentes:
Ilustración producción propia con IA
Etiquetas: