近期,树莓派发布了 Raspberry Pi OS 的 6.2 版本,这是对去年发布的 Trixie 版本的第二次更新。此次更新主要是汇总了过去几个月我们所做的所有小改动和错误修复,但有一项重要变化我们希望特别说明:无密码 sudo 现在默认被禁用。
考虑到网络犯罪威胁日益增加,官方会持续审查 Raspberry Pi OS 的安全性,以确保其足够健壮,能够抵御潜在攻击。这始终是一个微妙的平衡,因为任何提高操作系统安全性的措施,都会在一定程度上给合法用户带来不便,因此官方尽量将此类改动保持在最低限度。这次的安全更新,很多用户可能甚至不会注意到,但它会对部分用户产生影响。
超级用户会怎么做?
所有 Linux 系统都有两种类型的用户账户:普通用户和管理员。管理员能够以普通用户无法做到的方式访问系统 —— 最明显的一点是,他们可以向文件系统中对其他用户受限的区域写入文件。
然而,普通用户有时也需要执行管理员级别的操作。为了让他们无需注销再以管理员身份重新登录就能执行这些操作,用户可以使用 Linux 的 sudo 工具。sudo 是 “superuser do”(超级用户执行)的缩写,它是一个命令前缀,用于告诉系统以管理员的身份(而非普通用户)执行某个操作。最常见的使用场景是在终端中进行交互时 —— 例如,直接执行 cp file.txt /usr/share/ 是不被允许的(因为普通用户无法写入 /usr/share 目录),但加上 sudo 后执行 sudo cp file.txt /usr/share/ 就可以了。
Raspberry Pi OS 之前的设置一直允许普通用户账户以这种方式使用 sudo。具体来说,系统默认配置为启用无密码 sudo —— 普通用户只需在命令前加上 sudo 就可以以管理员身份执行命令。然而,这产生了一个潜在的安全漏洞:任何能够访问该计算机的人都可以从普通用户账户执行管理员操作,其中某些操作可能是恶意的。
请输入密码
从本次发布开始,无密码 sudo 默认被禁用。如果你使用 sudo 来获取管理员权限,系统会提示你输入当前用户的密码。在终端中,只要你发出一个 sudo 命令,密码提示就会出现。如果你输入了正确的密码,命令将照常执行;如果你输入了错误的密码,该命令将被拒绝。
桌面界面中的某些操作也需要 sudo 权限,包括控制中心里的一些操作。在这些情况下,会弹出一个对话框要求输入密码。
一旦输入了密码,在接下来的五分钟内,即使你在此期间执行更多 sudo 操作,也不会再次被提示输入密码。
如果你希望不被提示输入 sudo 密码,有一个选项可以在控制中心的“系统”标签页中恢复到原来的无密码行为。通过关闭“管理员密码”开关,系统将不再要求在终端或桌面界面中运行 sudo 命令之前输入密码。
与所有此类改动一样,这次更新可能会给一些已经习惯了之前操作方式的用户带来不便,但希望你能理解这背后的原因。
请注意,此更改不会影响现有 Raspberry Pi OS 安装的升级 —— 上述的“管理员密码”开关会出现在控制中心中,但无密码 sudo 将保持启用状态,除非你选择禁用它。
发表评论