Ubuntu 26.04终结46年密码沉默

你有没有在Linux终端输密码时怀疑过：键盘真的在工作吗？

这个困扰了几代人的问题，即将被Ubuntu 26.04终结。从1980年sudo诞生至今，密码输入始终是一片死寂的空白——没有星号、没有圆点、光标纹丝不动。46年后，这块"黑屏"终于要亮起反馈。

一场静默的"视觉革命"

2026年4月23日，Ubuntu 26.04 LTS（代号Resolute Raccoon）将正式发布。它的默认sudo实现——sudo-rs——会在你每敲一个键时回显一个星号。

这行代码改动的背后，是Linux社区近十年来最激烈的UX辩论之一。

支持者援引Linux Mint的先例：这家发行版早已默认开启视觉反馈，"天没有塌下来"。反对者则坚持传统—— shoulder surfing（肩窥攻击）风险真实存在，暴露密码长度等于给攻击者送情报。

核心矛盾被sudo-rs项目的维护者一语道破：「从理论上说，安全性确实变差了，因为旁观者能看到密码长度。但这项收益微乎其微，远不及UX问题带来的困扰。」

sudo-rs：用Rust重写的基础设施

变革的推手不是Ubuntu的独断，而是一次底层架构的换代。

sudo-rs是用Rust编程语言对经典C语言sudo的彻底重写。2024年10月，Canonical在Ubuntu 25.10中将其设为默认实现。对绝大多数用户而言，这次切换是无感知的——命令名、调用方式完全一致。

真正的转折点发生在Ubuntu 26.04 beta窗口期前约两周。上游sudo-rs项目合并了一项补丁：默认启用pwfeedback（密码反馈）选项。Canonical迅速将其cherry-pick（遴选合并）进26.04开发分支。

legacy sudo（部分发行版标记为sudo-ws）不受影响。只有走sudo-rs路径的系统会显示星号。

这意味着什么？Ubuntu正在用一门内存安全语言，重构Linux最基础的安全工具之一。视觉反馈只是副产品，真正的赌注押在Rust消除内存漏洞的潜力上。

1980年的安全假设，2026年还成立吗？

要理解这场争论的激烈程度，得回到sudo的起源。

1980年，纽约州立大学布法罗分校的Bob Coggeshall和Cliff Spencer写出了第一版sudo。那时的计算环境截然不同：终端是共享的物理设备，屏幕面向开放空间，"站在你身后数按键"是真实威胁。

沉默的密码输入是刻意设计，针对特定威胁模型的精确响应。

46年间，这个假设从未被重新审视。终端从机房搬到了个人笔记本，又从笔记本分散到云服务器。 shoulder surfing的场景从"身后站人"变成了"摄像头偷拍"——攻击者不再数按键，而是直接录屏。

但Linux发行版的路径依赖惊人。Debian、Fedora、Arch……主流发行版全部继承沉默传统。Linux Mint的"叛逆"被视为边缘实验，而非范式转移的信号。

打开网易新闻 查看精彩图片

sudo-rs的默认开启，相当于用技术债务的清理，倒逼社区重新评估威胁模型。

为什么是现在？

时间线值得玩味。

2024年10月：Ubuntu 25.10切换sudo-rs默认实现，保持沉默行为，用户无感知。

2026年3月（beta前两周）：上游sudo-rs合并pwfeedback默认开启补丁。

2026年4月：Ubuntu 26.04 LTS发布，星号首次成为默认体验。

这个节奏说明两件事。第一，Canonical对sudo-rs的稳定性有足够信心，敢于在LTS版本中承载行为变更。第二，视觉反馈的决策权被有意上移至上游项目，避免Ubuntu独自承担"破坏传统"的骂名。

开源治理的经典策略：让技术演进看起来像是社区共识的自然结果，而非单一厂商的意志。

被忽视的更大图景

sudo-rs本身比星号反馈更值得追踪。

它是Prossimo项目的一部分——一个用Rust重写关键C语言基础设施的系统性工程。同批目标包括TLS库（rustls）、DNS解析器（hickory-dns）、NTP守护进程等。

sudo的C代码库历经46年修补，逻辑复杂度与历史包袱成正比。2022年，sudo曾曝出一个堆缓冲区溢出漏洞（CVE-2021-3156），影响范围覆盖几乎所有Unix-like系统。这类内存安全问题在Rust中理论上可被编译期消除。

Ubuntu的激进之处在于：它不仅是sudo-rs的早期采用者，还将其设为默认。这比Fedora的谨慎态度（sudo-rs作为可选包）走得更远。

星号反馈是用户可见的"噱头"，内存安全重构才是Canonical押注的底牌。

行动号召

如果你在2026年4月后打开Ubuntu终端，看到密码输入亮起星号——别只把它当作UI美化。

这是基础设施层换代的一个信号：Rust正在从"很有前途的新语言"变成"承载关键系统的生产工具"。而Linux发行版的竞争，正从"谁的功能更多"转向"谁能在不打破用户习惯的前提下，完成底层架构的安全升级。

想提前体验？Ubuntu 26.04每日构建版已可用。或者，如果你还在用legacy sudo，可以手动开启pwfeedback，对比两种交互的心理负荷差异。

46年的沉默被打破，不是因为安全假设失效，而是因为更好的工程实践终于成熟到可以承载变革。下一个被Rust重写的经典工具会是什么？