# Ubuntu 26.04 密码 asterisk 背后的工程取舍:安全仪式感与现代用户体验的博弈 > 从 sudo 46 年静默传统到 Ubuntu 26.04 默认显示密码星号,解析 Rust 重写带来的 UX 变革与安全权衡的工程决策。 ## 元数据 - 路径: /posts/2026/03/21/ubuntu-26-04-sudo-password-feedback-engineering-tradeoff/ - 发布时间: 2026-03-21T16:04:27+08:00 - 分类: [systems](/categories/systems/) - 站点: https://blog.hotdry.top ## 正文 2026 年 4 月即将发布的 Ubuntu 26.04 LTS(代号 Resolute Raccoon)做出了一项看似微小却引发广泛讨论的改动:sudo 命令的密码输入将默认显示星号反馈。这一改变终结了自 1980 年 sudo 诞生以来近半个世纪的静默密码输入传统,背后折射出的是现代操作系统在安全交互设计上的一次重要取舍。 ## 静默密码输入的历史溯源 sudo 工具最初由纽约州立大学布法罗分校的 Bob Coggeshall 和 Cliff Spencer 于 1980 年创建。当时的终端是共享资源,物理屏幕完全暴露在公共视野中,“肩窥”(shoulder surfing)——即旁观者通过计算按键次数来推断密码长度——是一种真实存在的安全威胁。静默密码输入由此成为一项有意为之的安全设计决策,此后在几乎所有 Linux 发行版中沿用长达四十余年。 这一传统在 2025 年开始出现裂痕。Linux Mint 首先在其默认配置中启用了密码可视反馈,证明了改变并不会引发系统性风险。尽管如此,Ubuntu 等主流发行版始终维持着经典的静默提示。直到 sudo-rs 的出现改变了这一局面。 ## sudo-rs:Rust 重写带来的变革契机 sudo-rs 是对传统 C 语言实现的完全重写,采用 Rust 编程语言从零构建。Canonical 在 Ubuntu 25.10 中将 sudo-rs 设为默认实现,对于终端用户而言,命令名称和使用方式保持不变,因此这次迁移几乎没有引发任何关注。 然而,正是这次底层技术的更替为行为改变创造了条件。2025 年 10 月,有用户在 sudo-rs 项目中提交 bug report,请求默认启用 pwfeedback 选项以实现“更合理的现代用户体验”。2026 年 2 月,上游 sudo-rs 项目合并了这一补丁,默认开启密码字符反馈功能。Canonical 随后将该补丁 cherry-pick 到 Ubuntu 26.04 的开发构建中,从而在即将发布的 LTS 版本中实现了这一行为变更。 ## 安全论证的两极化 反对者的核心论点集中于密码长度的暴露。批评者在 sudo-rs 的 issue 中写道:“sudo-rs 对每个输入字符显示星号,打破了比我年龄还要久远的安全措施。”Ubuntu 官方对该报告标记为“Won't Fix”,上游开发者也拒绝让步。 开发者的回应同样明确:隐藏密码长度的安全收益在实践中微乎其微。任何能够从屏幕距离准确数出星号数量的人,完全可以直接观察或监听按键本身。更重要的是,多数用户的 sudo 密码与登录密码相同,而在图形登录界面(GDM)中,密码早已以可见的占位符形式呈现。开发者在上游提交信息中直言:“理论上安全性略有下降,因为密码长度会暴露给盯着屏幕的人,但这带来的微小风险远远不及用户体验问题。” 这一论证揭示了安全设计中的一个核心矛盾:当一项安全措施的实际防护价值与其造成的用户体验障碍严重不成比例时,它更接近于一种“安全仪式”而非真正的防护。开发者选择将此定义为“安全戏剧”(security theatre),意指那些看似安全实则心理安慰大于实际保护的设计。 ## 工程实践中的可配置性保障 Ubuntu 26.04 的这一改动之所以值得肯定,关键在于它保留了充分的可配置性。期望恢复传统静默行为的用户和管理员可以通过 sudoers 文件进行单一配置调整: ```bash sudo visudo # 添加以下行 Defaults !pwfeedback ``` 该修改无需重启系统即刻生效。值得注意的是,传统基于 C 语言的 sudo 实现(部分文档中称为 sudo-ws)并未受到此次变更影响,用户在技术上仍可回退到旧的软件包。然而,由于 sudo-rs 已成为默认实现,这一替代方案的实际使用场景有限。 ## 更广泛的现代化背景 sudo 密码反馈的变更并非孤立事件,而是 Ubuntu 26.04 整体现代化进程的一部分。该版本将搭载 GNOME 50(仅运行于 Wayland)、Linux Kernel 7.0,并进一步推动 Rust 在核心工具中的采用,包括 uutils/coreutils 等 Rust 重新实现的经典 Unix 命令行工具。sudo-rs 的启用因此是 Ubuntu 推进内存安全与现代化用户体验战略的一环。 从工程决策的角度看,这一变动的核心逻辑在于:默认设置应当服务于最广泛用户群体的实际需求,而非少数资深用户的行为惯性。新手用户面对毫无反馈的密码输入时,常常误以为终端冻结;现代用户早已习惯图形界面中的密码占位符,终端中的静默反而造成了认知不连贯。 ## 写在最后 Ubuntu 26.04 将 sudo 密码输入从静默改为星号显示,本质上是一次以用户体验为导向的工程取舍。安全层面的损失被评估为“ infinitesimal”(极其微小),而用户确认输入的心理确定性显著提升。重要的是,系统提供了简洁的回退路径,确保对传统行为有强制需求的用户仍可保持原有配置。 这一案例提醒我们,安全设计并非一成不变的教条,而是需要随着用户模型、威胁环境和交互习惯的演变持续重新评估。当一项安全措施的实际保护效能与它带来的认知负担严重失衡时,重新审视其存在价值是一种合理的工程态度。 **资料来源**:PBX Science(2026年3月20日)、Phoronix(2026年2月26日)、sudo-rs 上游提交历史 ## 同分类近期文章 ### [好奇号火星车遍历可视化引擎:Web 端地形渲染与坐标映射实战](/posts/2026/04/09/curiosity-rover-traverse-visualization/) - 日期: 2026-04-09T02:50:12+08:00 - 分类: [systems](/categories/systems/) - 摘要: 基于好奇号2012年至今的原始Telemetry数据,解析交互式火星地形遍历可视化引擎的坐标转换、地形加载与交互控制技术实现。 ### [卡尔曼滤波器雷达状态估计:预测与更新的数学详解](/posts/2026/04/09/kalman-filter-radar-state-estimation/) - 日期: 2026-04-09T02:25:29+08:00 - 分类: [systems](/categories/systems/) - 摘要: 通过一维雷达跟踪飞机的实例,详细剖析卡尔曼滤波器的状态预测与测量更新数学过程,掌握传感器融合中的最优估计方法。 ### [数字存算一体架构加速NFA评估:1.27 fJ_B_transition 的硬件设计解析](/posts/2026/04/09/digital-cim-architecture-nfa-evaluation/) - 日期: 2026-04-09T02:02:48+08:00 - 分类: [systems](/categories/systems/) - 摘要: 深入解析GLVLSI 2025论文中的数字存算一体架构如何以1.27 fJ/B/transition的超低能耗加速非确定有限状态机评估,并给出工程落地的关键参数与监控要点。 ### [Darwin内核移植Wii硬件:PowerPC架构适配与驱动开发实战](/posts/2026/04/09/darwin-wii-kernel-porting/) - 日期: 2026-04-09T00:50:44+08:00 - 分类: [systems](/categories/systems/) - 摘要: 深入解析将macOS Darwin内核移植到Nintendo Wii的技术挑战,涵盖PowerPC 750CL适配、自定义引导加载器编写及IOKit驱动兼容性实现。 ### [Go-Bt 极简行为树库设计解析:节点组合、状态机与游戏 AI 工程实践](/posts/2026/04/09/go-bt-behavior-trees-minimalist-design/) - 日期: 2026-04-09T00:03:02+08:00 - 分类: [systems](/categories/systems/) - 摘要: 深入解析 go-bt 库的四大核心设计原则,探讨行为树与状态机在游戏 AI 中的工程化选择。