嘿，针对你这个单用户Ubuntu的场景——物理只有可信人员接触、默认没开启sshd这类远程登录服务、设备已联网——咱们来拆解下完全禁用本地登录密码会带来哪些实际风险，尤其是和权限提升相关的点：

一、本地层面的风险 #

虽然你提到设备不会被不可信人员物理接触，但还是要考虑边界情况和本地进程的潜在威胁：

• 物理接触后的无阻碍控制：如果设备意外丢失或被可信人员中的“风险个体”临时接触，而你的系统刚好开启了自动登录（Ubuntu桌面版默认常开启这个选项），攻击者开机就能直接进入你的账户。再加上你配置了sudo免密，他们可以直接执行任何root级别的操作——比如修改系统配置、植入恶意软件、窃取所有数据，全程不需要任何密码验证。
• 本地漏洞提权的门槛大幅降低：如果你的普通用户账户被某个本地漏洞（比如桌面应用的沙箱逃逸、浏览器漏洞）攻破，攻击者拿到普通用户权限后，因为sudo免密，能直接一步到位获取root权限。而如果有登录密码的话，攻击者还得额外窃取你的密码（比如通过键盘记录）才能完成提权，多了一道关键的防御屏障。

二、间接远程风险（结合你的联网场景） #

你没开远程登录服务，直接远程登录的风险几乎为0，但联网状态下还是存在间接的远程威胁：

• 恶意软件的权限扩散：如果你的浏览器被钓鱼网站攻击、或者不小心下载了恶意软件，一旦这些恶意程序拿到了普通用户权限，就能直接通过sudo获取root权限，进而做更严重的破坏——比如植入持久化后门、修改系统网络配置（悄悄开启远程服务）、窃取系统级别的敏感数据。要是有登录密码，恶意软件还得想办法拿到你的密码才能提权，难度会高很多。
• 账户会话被接管后的无限制操作：如果某个联网应用的漏洞导致你的用户会话被远程攻击者窃取，他们不需要验证密码就能完全控制你的账户，并且直接通过sudo拿到root权限，没有任何额外的验证步骤。

三、你的配置脚本需要注意的小问题 #

顺便提一句，你用来实现免密sudo和删除密码的脚本有两个小细节可以优化：

1. 你用echo "$USER ALL=(ALL) NOPASSWD:ALL" > "/etc/sudoers.d/$USER"会直接覆盖目标文件，如果之前这个文件存在，会丢失原有配置。更安全的做法是用追加符号>>，或者先检查文件是否存在。
2. visudo -cf /etc/sudoers只检查主sudoers文件的语法，应该改成visudo -cf "/etc/sudoers.d/$USER"，这样能确保你新建的sudo配置文件没有语法错误，避免sudo功能失效。

内容的提问来源于stack exchange，提问作者user23952