Ubuntu 26.04 終結長達 46 年的 sudo 隱形密碼傳統

背景

Ubuntu 預計於 2026 年發布的 26.04 LTS（代號 Resolute Raccoon）將打破 Linux 長達 46 年的傳統，在終端機輸入 sudo 密碼時不再保持靜默，而是預設顯示星號回饋。這項改變源於 Ubuntu 轉向使用 Rust 編寫的 sudo-rs 實作，旨在改善使用者體驗，卻也意外引發了 Linux 社群關於安全性與傳統設計哲學的激烈辯論。

社群觀點

在 Hacker News 的討論中，社群對此項更動的看法呈現兩極化。支持者普遍認為，傳統的靜默輸入是過時的「安全戲劇」，在現代運算環境中已失去實質意義。許多開發者指出，圖形介面的登入畫面早已預設顯示點狀或星號回饋，且兩者通常共用同一組密碼，僅在終端機維持靜默顯得邏輯不一。對於在高延遲的遠端連線（如 SSH）下工作的用戶而言，缺乏視覺回饋常導致無法判斷輸入是否成功、是否發生連按或漏字，顯示星號能大幅提升操作的確定性。部分留言者甚至直言，隱藏密碼長度的安全性收益微乎其微，因為能近距離觀察螢幕並計算星號數量的人，同樣能透過觀察手指動作或聽取敲擊聲來推測密碼。

反對者則從資安風險與 Unix 哲學的角度提出質疑。批評者認為，洩漏密碼長度會顯著縮小暴力破解的搜尋空間，雖然對極長密碼影響較小，但對於短密碼而言，這確實降低了安全性。此外，螢幕錄影或截圖分享也是一大隱憂，靜默輸入能確保密碼長度不會在這些記錄中留下痕跡。更有資深用戶對 Ubuntu 頻繁更換底層核心組件感到不安，認為 sudo-rs 或 Rust 版 coreutils 尚未經過數十年的實戰檢驗，過早將其設為預設可能引入新的風險。

有趣的是，討論中也出現了許多折衷方案與對技術演進的觀察。有用戶建議採用類似 i3lock 的設計，即每按一個鍵就顯示旋轉的符號或隨機字元，既能提供輸入回饋，又不會洩漏總長度。也有人提到，與其在 sudo 的視覺表現上爭執，不如關注如 systemd 的 run0 等新技術，這些工具透過 Polkit 機制提供更現代的授權體驗，甚至支援指紋辨識，從根本上解決了 setuid 程式的安全隱患。這場爭論反映出 Linux 社群在「擁抱新手與現代化 UX」與「堅持極簡主義與傳統安全實踐」之間的長期拉鋸。

延伸閱讀

在討論過程中，有參與者分享了相關的技術背景與替代方案。例如 systemd 提供的 run0 工具，它被視為 sudo 的現代替代品，能透過更安全的方式處理權限提升。此外，針對不滿意 sudo 密碼驗證延遲的用戶，討論中也提及了 pam_unix 模組的運作機制，以及如何透過修改 sudoers 設定檔來恢復傳統的靜默行為。對於想深入了解 Rust 重製版核心工具的人，uutils/coreutils 專案也是社群關注的重點之一。