「安全理论上变差了,因为密码长度会暴露给旁观者,但这点收益远不及用户体验问题。」——sudo-rs维护者的这句话,正在改写Linux最顽固的一项传统。

1980年的安全假设,2026年终于松动

1980年,纽约州立大学布法罗分校的Bob Coggeshall和Cliff Spencer创造了sudo。那个年代的终端是共享的物理设备,屏幕对所有人敞开,"肩窥"(shoulder surfing)是真实威胁——有人站在你身后数按键次数,就能猜出密码长度。

沉默,成了最简洁的防御。

这个设计在命令行时代无懈可击:没有视觉反馈,攻击者无法通过按键节奏推断密码结构。但它也带来一个副作用——无数新手盯着空白的终端,不确定自己的输入是否被系统接收。

46年间,这个默认行为从未被主流发行版撼动。直到Ubuntu 26.04 LTS(代号Resolute Raccoon,2026年4月23日发布)决定打破沉默。

Linux Mint先探路,Rust重写提供契机

变化并非一蹴而就。Linux Mint早已在其sudo配置中默认开启视觉密码反馈,低调证明了"天不会塌"。但Ubuntu这样的主流发行版始终按兵不动——迁移成本与兼容性风险让改变停滞。

真正的转折点来自技术栈的底层替换。

Canonical从Ubuntu 25.10开始,将默认sudo实现从经典的C语言版本切换至sudo-rs——一个用Rust编程语言(Rust)从头重写的项目。对大多数用户而言,这次切换几乎无感:命令名称、调用方式完全一致,性能差异在日常使用中难以察觉。

但Rust重写的意义在于,它解耦了历史包袱。C语言sudo的沉默行为是46年累积的兼容债务,任何改动都可能触发未知的下游依赖。sudo-rs作为新项目,没有这层约束。

Ubuntu 26.04 beta窗口前约两周,上游sudo-rs合并了一项补丁:默认启用pwfeedback选项。Canonical迅速将其拣选(cherry-picked)进开发版本。传统C语言sudo包(部分标记为sudo-ws)不受影响,只有sudo-rs路径呈现星号反馈。

一场被低估的用户体验革命

这个改动的技术细节值得拆解。pwfeedback并非简单地在每个按键后打印星号——它涉及终端回显(echo)控制的重新设计,需要在安全性与可用性之间找到新平衡点。

反对者的论点依然成立:星号确实暴露了密码长度。一个12位密码显示12个星号,攻击者的信息熵减少了。但在2026年的使用场景中,这个威胁模型已经漂移。

现代开发者的典型场景是什么?远程SSH会话、个人笔记本、物理隔离的办公环境。"肩窥"从"站在你身后的人"变成"能读取你屏幕的恶意软件"——而后者早已拥有键盘记录器,不需要数星号。

打开网易新闻 查看精彩图片

与此同时,沉默密码的成本被系统性低估。Stack Overflow上关于"sudo密码不显示"的新手问题累计超过数万条;企业内部IT支持工单中,"终端卡死"的误报相当比例源于此。这些摩擦成本从未被量化,但真实存在。

sudo-rs维护者的判断是务实的:理论安全收益的"无穷小"(infinitesimal),无法抵消真实发生的用户体验损伤。

Rust重写背后的维护者危机

Ubuntu 26.04的改动之所以可能,深层原因是sudo项目的维护者困境。原C语言sudo由Todd Miller维护超过30年,但该项目长期面临资金枯竭——支撑着数百万服务器的核心工具,其维护者却难以获得可持续收入。

sudo-rs的出现部分源于此:当传统项目的演进速度受制于资源约束,重写成为另一条路径。Rust生态的安全保证(内存安全、并发安全)也为这个特权提升工具提供了额外的审计信心。

这不是孤例。OpenSSL的心脏出血漏洞后,LibreSSL和Rustls相继出现;核心基础设施的"锈化"(Rust化)正在系统性地降低C语言遗留代码的攻击面。Ubuntu的选择,是将这一趋势推向终端用户体验层。

发行版分化的前兆

需要明确的是,Ubuntu并未强制所有用户接受星号反馈。传统sudo包仍然可用,系统管理员可以通过配置切换。但默认值的威力在于:它定义了"正常"是什么。

这一改动可能引发连锁反应。Fedora、Debian、Arch等发行版将面临选择:跟随Ubuntu调整默认行为,还是坚守46年传统以维护"纯粹性"?企业Linux发行版(RHEL、SUSE)的决策更为复杂——它们需要评估合规框架对密码输入可视化的态度。

更深远的影响在于开发者预期。新一代Linux用户将在星号反馈中成长,沉默密码逐渐成为"复古选项"。当用户基数发生代际更替,默认值的政治意义将超越技术讨论本身。

Canonical的时机选择也耐人寻味:在LTS(长期支持)版本引入这一变更,意味着未来五年的企业部署都将基于新行为。这不是实验,是承诺。

小改动的结构性信号

回到那个星号。它看似微不足道,却浓缩了开源生态的深层张力:安全模型的时代适配、基础设施维护的可持续性、用户体验与理论风险的权衡。

Ubuntu 26.04的决策逻辑可以概括为:当威胁模型漂移,而历史惯性成为主要障碍时,技术栈的重写提供了重新协商默认值的契机。Rust在这里不仅是实现语言,是打破路径依赖的杠杆。

对于科技从业者,这个案例的价值在于观察"默认的力量"。46年的沉默不是技术必然,是特定历史条件下的均衡态。识别这些均衡何时松动,比争论均衡本身更有价值。

下一次当你输入sudo密码时,如果看到星号跳动,记住:那是一个1980年的设计假设,在2026年被正式退役。而推动它的,是一门2010年才出现的编程语言,和一群拒绝接受"历来如此"的维护者。

至于那些担心密码长度暴露的人——好消息是,你的攻击者大概早就装了键盘记录器。坏消息是,你的密码可能还是"password123"。星号救不了这个。