Pull to refresh

Comments 67

Ставьте пароль на бутлоадер и шифруйте / — и будет вам счастье :)
+ еще можно вообще отключить вход с консоли =)
А если у вас иксы умерли? =)
«Делай как вендузятнег» — реинсталл системы?
У меня на сервере нет иксов. Вот такой вот суровый админ.
Ок. Сгорает сетевая. Ставите новую. Сюрприз! Нет модуля в ядре для этой карты. Сети => SSH нет. Консольный вход — отключен. Ваши действия? =)

Зачем создавать себе геморой? :)
1) у меня для сервера есть запасное железо
2) есть определенные причины когда надо, что бы не было доступа локально
3) Кластер не кто не отменял =)
спишите это все на мою паранойю/и нечем заняться.
UFO just landed and posted this here
О! А мануальчик по такому можно? :)

Я только авторизацию по флешке делал.
Я тоже такое хочу. Где прочитать?
UFO just landed and posted this here
sudo chroot /media/sda1
может быть:
sudo chroot /media/linx_part?
Хотя, предполагаю, что и то и то будет работать одинаково.
UFO just landed and posted this here
элементарные вещи для любого линуксоида. убунтоидам должно быть интересно. и да, в интернете таких статей несколько милиардов.
Скажем, я убунтоид, статья для новичка, который первый раз столкнулся с такой проблемой не плоха. Лично мне интереса не представляет, так как давно в Слаке намучился с такими проблемами.
UFO just landed and posted this here
Да, забылся… Все равно /etc/pas{tab}
Можно напрямую редактировать /etc/shadow — нужно удалить хеш пароля.
Например строка вида root:xxx:yyy:zzz:www:rrr::: -удалим xxx, пароль будет пустой, потом его можно создать командой passwd
Чтобы не делать chroot? Как вариант, но не самый лучший.

У вас chroot может не сработать в некоторых случаях. Например, если архитектура пакетов в chroot не совпадает с архитектурой системы (пытаетесь из amd64 chroot'нуться в arm).

Можно загрузится с под Knoppix и сделать что ты говоришь.
UFO just landed and posted this here
Что-то как-то просто и небезопасно. Но, за статью спасибо, как начинающему линуксоиду уже раз приходилось систему переустанавливать после того, как пароль был благополучно забыт.
Если у вас физический доступ к компу, то все остальное вобщем-то ломается.
Хотите большей безопасности — шифруйте раздел, но тогда забытый пароль восстановить не удастся, забыл пароль — все сноси.
=))))) Если только не приделать «Востановление пароля» с высылкой на e-mail =)
блин, это только в винде зачем то палки в колеса вставляют, и нет никакого штатного способа сбросить пароль админа, при наличие доступа к файловой системе, зачем такие извращения если честно мне не совсем понятно.

(если есть какой то штатный способ, готов получить ссылкой, про нештатные знаю)
штатных действительно нет… но есть множество атак на изменение пароля администратора…
например с подменом cmd заставки…
нештатный и мой любимый ERD commander (infr@ live cd)
Насколько я помню — фищка с cmd не работает в последних SP.
сколько последних версий с всем заплатками можно найти в офисах?
процентов 70 прокатит.
но лучше ERD
Да ну? Большинство _адекватных_ Win-админов первое, что делают придя в офис — поднимают WSUS и сервер обновлений антивируса.

Может, у меня просто все адекватные знакомые… Но тех, кто живет без обновлений системы — единицы.
ЕРД безусловно лучше. Но ХР вообще без СП вряд ли уже найдешь.
Боян =) (без обид). Да и рутовый пароль в бубунте можно (гораздо легче и быстрее) изменить после простого «sudo su». Пора бы уже придумать товарищам разработчикам ФС устанавливать пароли на доступ к разделам, с шифрованием на уровне драйверов ФС.
эээ, чет я не понял, если вам нужно, что вам мешает использовать шифрование ФС сейчас?
а смысл? в большинстве случаев хватает разграничения прав, где его не хватает делается шифрование… и да sudo доступна только судоерам, что в реальной (не домашней) системе получить не так то просто
А я в скохе по-другому сбрасывал. Загружал, MS DOS, запускал Norton Disk Doctor и менял зашифрованный пароль на свой зашифрованный пароль. Прямо в /etc/shadow, находил этот блок на диске, и в путь. :)
А можно вообще на биос пароль поставить пока не введешь дальше биоса не уйдешь :), при условии, что корпус компьютера запаян :)
нуда, AWARD_SW и тому подобное. :)
Действовало только на 486 и первых пнях. Тобишь до версии 4.51 авардовского биоса. Далее lkwpeter-ов и прочих не стало
… При условии что компьютер — ноутбук. Там быает совсем интересно, особенно в старых моделях.
О да! И срок службы батареи 25 лет. И батарея запихорена куда-то в EEPROM. Вы об этом?
Могу добавить:
1) Загрузочный диск надо иметь той же архитектуры (т.е. если у вас x86_64 — лайвсиди нужен x86_64 и т.п.)
2) Если на загрузочном диске и в поциенте используется разные оболочки (тот же system rescue cd юзает ZSH, а в бубунте его по умолчанию нет) то можно получить ругательства вида
chroot: cannot run command `/bin/zsh': No such file or directory
Эту проблему решил по-быстрому созданием ссылки
ln -s /media/linx_part/bin/bash /media/linx_part/bin/zsh
хотя скорее всего существуют более корректные и идеологически правильные решения :)
там вроде
$sudo chroot /mnt/lin_part /bin/bash
и оно запускает баш
угу, точно, спасибо… Что-то я невнимательно скурил man chroot :)
chroot NEWROOT [COMMAND...]

If no command is given, run ‘‘${SHELL} -i’’ (default: /bin/sh).
1) Загрузочный диск надо иметь той же архитектуры (т.е. если у вас x86_64 — лайвсиди нужен x86_64 и т.п.)

Можно и старше. Т.е. если стоит i386, можно сделать chroot из x86_64, но не наоборот. Исключение, вырубленная в 64 битном ядре поддержка 32 битных бинарок, но это редкость.
Исключение #2: x86_64 система, собранная без multilib.
По моему multilib тут не причем. Есть ядро, оно 64 битное, при chroot появляется новое окружение и в этом окружении уже загружается /bin/bash, он уже никакого отношения к исходной системе не имеет (почти), все библиотеки подгружаются из нового окружения, в том числе и glibc. Если ядро может выполнять 32 битный код, то все должно работать.
linux32 chroot /mnt/mnt /bin/bash точно работает из 64 бит
linux64 еще есть в 32х битной системе, но хз что получится из этого, нет шанса проверить.
setarch — change reported architecture in new program environment and set personality
flags.

Насколько я понял ман, это просто обходка для `uname -m` и переменных (HOSTTYPE, ARCH, MACHINETYPE).
setarch — change reported architecture in new program environment and set personality
flags.

Насколько я понял ман, это просто обходка для `uname -m` и переменных (HOSTTYPE, ARCH, MACHINETYPE).
UFO just landed and posted this here
s/Измените рута в примонтированном разделе/Подмените текущий корень на смонтированный раздел/
вы, видимо, не понимаете сути процесса
как-то я забыл пароль рута, но помнил свой пользовательский пароль (настроил и забыл, ага)
просто загрузился в Windows, скачал какую-то утилиту для работы с ext2, открыл файл с паролями и подставил руту зашифрованный пароль от своего пользователя :)
странно, кстати, что линух так просто шифровал пароли, без добавления имени в качестве «соли», например, что сделало бы такой обход пароля невозможным
это не сильно усложнило бы задачу.
спасибо за материал, но есть механическая ошибка:
если смонтировали раздел в linx_part
sudo mount /dev/sda1 /media/linx_part
то и chroot в него
sudo chroot /media/linx_part
sudo chroot /media/sda1 — ошибка?
Только сегодня сбрасывал пароль знакомому в его OpenSUSE… вариант с init=/bin/bash — не прошел, скорее всего в SUSE init через параметры ядра не переопределяется.
Так же не помог вариант перехода на 1 runlevel (отлично работало в Mandriv'е).
С liveCD вариант не подходил, так как на машине была 64битная ОС, а liveCD был Ubuntu x86.
В итоге, пришлось очистить пароль в /etc/shadow
Вывод: необходимо помнить обо всех способах сброса пароля (на всякий случай)!
только что проделал вариант с init=/bin/bash на opensuse 11.0 — все великолепно сработало.
К сожалению я не помню версию, которая стояла у знакомого… Возможно были внесены изменения в конфигурацию, уже после установки системы… Я честно говоря сам удивился, когда машина загрузилась в обычном режиме, проигнорировав этот параметр ядра…

PS Прошу прощение за нижний комментарий добавленный не в ту ветку…
К сожалению я не помню версию, которая стояла у знакомого… Возможно были внесены изменения в конфигурацию, уже после установки системы… Я честно говоря сам удивился, когда машина загрузилась в обычном режиме, проигнорировав этот параметр ядра…
А я когда был маленький лечил это установкой timeout 0 в грубе)
в различных версиях линух:
«linux single» или просто «single»
что говорит системе запуститься в однопользовательском режиме с автологином root, далее можно поменять его пароль (passwd), перезапуститься и наслаждаться.
Методы защиты:
— запаролить grub (или lilo в ранних версиях)
— отключить меню grub (lilo)
— перекомпилировать ядро без поддержки опции загрузки single
В любом linux есть универсальный способ:
в загрузчике в строке с root= добавляйте (в конец) init=/bin/sh
После загрузки ядра получите командную строку шела, где уже и нужно вводить passwd.

Указанный тут single зачастую тоже требует пароль рута.
Sign up to leave a comment.

Articles