Лабораторная работа №3: Сброс пароля ROOT

Опубликовано: 12 Декабрь, 2014 в разделе: Лабы

Случается, что мы забываем самое святое — пароль суперпользователя root. В этой лабораторной работе мы научимся сбрасывать пароль суперпользователя в случае, если мы его утратили/забыли. Итак, предположим, у нас есть система CentOS с забытым паролем.

Виртуальную машину я оставлю с предыдущих лабораторных работ, так будет лучше.

План работы:

1. Перезагрузите систему и войдите в меню загрузчика GRUB
2. Измените параметры запуска ядра для загрузки в режим «одного пользователя», дописав параметр 1 или single в конец строки параметров. Загрузите систему и дождитесь приглашения терминала.
3. Переведите защиту SELinux в разрешающий режим, выполнив команду setenforce 0
4. Измените пароль пользователя root соответствующей командой.
5. Выполните перезагрузку системы и войдите в нее под пользователем root с новым паролем.

Ход работы:

1. В ходе перезагрузки системы входим в меню grub, где редактируем параметры загрузки ядра (kernel) как в предыдущей лабораторке. Дописываем параметр single, что означает однопользовательский режим загрузки.

1

2. Загружаемся с новым параметром (жмём клавишу <b>) и видим, что загружается ядро действительно с параметром single. Посмотрим, что будет дальше. По идее в этом режиме вообще не будет спрашивать пароль при авторизации. Кстати, это поведение можно настроить в другом месте, я расскажу в самом низу.2

Вот и появилось приглашение командного терминала sh.3

3. Отключаем защиту SELinux, выполнив команду

# setenforce 0

Рискну предположить, что без отключения этой фичи пароль нам поменять не удастся.

4

5. Ну и соответствующая команда для смены пароля пользователя root:

# passwd root

и вводим новый пароль. Сразу лучше его записать куда-нибудь. И перезагружаемся командой reboot.

5

После загрузки ОС убедимся, что пароль root теперь сброшен в новый. ) У меня получилось.

Выводы:

Можно сделать следующие выводы из этой лабораторной работы:

Потеря пароля суперпользователя — не такая страшная беда, если есть физический доступ к компьютеру. Гораздо сложнее, на мой взгляд, дела обстоят в Windows системе. Мне лично не известны способы сброса пароля администратора без привлечения дополнительных инструментов вроде LiveCD с редактором реестра (подгрузка улья) или использование утилит редактирующих SAM.

Способ в дистанционной среде не поможет, так как в однопользовательском режиме (как это следует из названия) не будут загружаться сетевые службы и не будет возможна аутентификация. Возможно, подойдёт KVM over IP, если машина виртуальная и развернута в среде с гипервизором.


Как и обещал, рассказываю как сделать так, чтобы пароль суперпользователя спрашивался даже в single mode режиме.

Дописываем (или исправляем) в файл /etc/sysconfig/init строку:

SINGLE=/sbin/sulogin

6

Вместо неё может стоять /sbin/sushell

Это касается RedHat. Для CentOS немного иначе. Открываем файл /etc/inittab

и дописываем сразу после дефолтного уровня выполнения:

su:S:wait:/sbin/sulogin

7

теперь пароль root будет спрашиваться даже в single режиме. Восстановить его будет сложнее, но и защита системы возрастёт значительно.

8

 

6 комментариев

  1. Михаил:

    Работает и без «setenforce 0», пароль успешно обновляется (проверил только что). Возможно и есть где-то блокировка, но не при такой настройке CentOS. Все делаю по вашим статьям.
    П.С.Прошу прощения, что пишу в комментариях, т.к. на сайте не нашел другой обратной связи.

    • Дмитрий:

      1. На самом деле я пишу эти лабораторки, опираясь на Red Hat систему. Хотя CentOS очень приближена к ней, всё равно есть некоторые разногласия. Очень хорошо, что у вас получилось это сделать без отключения SELinux. Но имейте ввиду, что попасться может и корпоративная RedHat, которая не потерпит такого обращения. Поэтому будем практиковаться именно как рекомендует вендор RedHat.
      2. Хорошо, что пишете в комментариях. На самом деле я очень рад, что сайт кто-то ещё почитывает. Буду рад ответить на любые вопросы, если смогу :-). Сам ещё только постигаю эту систему, многое непонятно остаётся. Такая форма общения вполне подходит! А вы хотели бы форум?

      • Михаил:

        Ну, в форуме для нескольких человек смысла не вижу, тем более форумов по данным системам и сообществ достаточно.
        Единственное пожелание это немного упорядочить либо сделать жесткую структуру статей и лабораторных. На данный момент выполняю их и статьи по принципу даты публикации. =)
        По «setenforce» учту.
        Единственный минус, кстати, на виртуальной машине не ставится разрешение больше 800на600. Поэтому бывает маны не влазят в экран. Пробовал и на VirtualBox и на VMwarePlayer.

        • Дмитрий:

          Ну man страницы можно проматывать стрелками вверх-вниз, никакого разрешения не хватит целиком вмещать десяток страниц. Насчёт жёсткой структуры — подумаю, как это лучше всего сделать. Один перечень тем со ссылками на лабораторные?

          • Михаил:

            Да, было бы лучше иметь какую-то структуру. Допустим, мы поставили ЦентОС по статье, затем сразу знакомимся с загрузчиком, паролем на него, ключами и восстановлением загрузчика и рутпароля. А то получается сначала мы делаем лабы, а потом ставим ЦентОС. Не логично, однако.))
            Да и структура это всегда хорошо, не нужно листать 3 страницы, чтобы начать с 1ой темы.
            Сам сайт менять не нужно, просто составить что-то типа оглавления и разместить в ввиде обычного ссылочного меню либо в отдельном разделе, либо справа/слева на странице.
            У вас есть статья по темам на экзамене, там все структурировано: тема => подразделы в определенном порядке. Можно сделать типа такого и просто разместить на главной, например.

  2. Shazo:

    Спасибо за статьи. Кстати по поводу сброса пароля в винде, не нужно морочиться с реестром — всё проще.

    При загрузке в режиме восстановления, выбираем командную строку. Определяем, где лежит папка system32 и переходим в неё.

    Копируем файл «utilman.exe», к примеру «utilman.exe.bckp».
    Далее копируем с заменой файл cmd.exe в utilman.exe.

    Ребутаем систему, в окне выбора пользователя под каким войти, запускаем «Центр спец. возможностей» (это такой синий значок в углу, где можно включить экранную клавиатуру и т.д.). И у нас вместо него запуститься cmd, где уже можно поменять пароль любому пользователю или создать нового.

    После главное не забыть вернуть всё на место.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.