Восстановление пароля пользователя и root в Red OS

Заблокирован вход в систему? Загрузка в режиме single-user – единственный выход без Live-среды. Никаких GUI. Только консоль, только хардкор.

На экране загрузчика нажмите e – редактирование параметров ядра. Ищите строку, начинающуюся с linux или linux16. В конец строки добавьте rd.break и запустите систему с изменёнными параметрами клавишей Ctrl+X.

Оказались в emergency-shell? Отлично. Перемонтируйте корень в режим записи:

mount -o remount,rw /sysroot
chroot /sysroot

Дальше – вызываем утилиту для смены аутентификации. Для систем с SELinux – не забудьте:

passwd имя_учетки
touch /.autorelabel

Без этого загрузка может зависнуть после перезапуска. И да, не забудьте выйти:

exit
exit

Система перезагрузится автоматически, SELinux обновит контексты. Долгая пауза – это нормально.

Внимание! Если SELinux отключен, файл /.autorelabel можно не создавать. Но это риск – нарушенные контексты в Red OS могут привести к непредсказуемым результатам.

Особенности Red OS

Не CentOS. Не RHEL. Это fork с модификациями. Некоторые утилиты и пути отличаются. Пример: загрузчик по умолчанию – GRUB2, но его конфигурация может быть сильно кастомизирована. Проверяйте: /boot/grub2/grub.cfg и /etc/default/grub.

Работа через Live-режим? Проблематично. Live-образов нет в свободном доступе. Придётся использовать rescue-режим с ISO-образа дистрибутива. Там, кстати, уже будет chroot-среда.

Если доступ нужен немедленно

Проверьте, не открыт ли sshd на внешнем интерфейсе. Удалённое подключение с ключом – редкий, но возможный обход. Только если ключ остался.

Для учётных записей с двухфакторной авторизацией восстановление прав возможено только из под initramfs или через физический доступ. Виртуалки – проще. Восстановление через гипервизор: подключение к консоли, загрузка с ISO, chroot.

Важно помнить: любое вмешательство в загрузочную конфигурацию может нарушить цифровую подпись загрузчика. При активной проверке UEFI Secure Boot система не загрузится после изменений.

Проверка целостности? Используйте rpm -Va после восстановления, чтобы убедиться, что ничего не повреждено. Особенно в системах с контролем целостности и централизованным управлением.

Сброс пароля root через загрузку в режиме восстановления

Перезагрузка в режиме single – единственный шанс без Live-носителя.

На экране выбора ядра GRUB нажми e. Не жди – таймер безжалостен.

Найди строку, начинающуюся с linux. В самом её конце допиши: init=/bin/bash

Комбинация клавиш: Ctrl + X или F10 – мгновенный запуск в однопользовательский режим.

Если видишь приглашение bash-* – ты внутри. Дальше – тонкая грань между успехом и провалом.

Подключи файловую систему на запись:

mount -o remount,rw /

Меняй то, что нужно:

passwd

Введи новый секрет дважды. Без ошибок. Никаких подсказок, никакой пощады. Промах – всё сначала.

Синхронизируй данные на диск:

sync

И жёсткий выход:

exec /sbin/init

Либо если всё плохо –

reboot -f

Важно: Если /usr или /bin вынесены на отдельный раздел, init=/bin/bash не сработает. Используй init=/usr/lib/systemd/systemd и войди с systemd.unit=rescue.target.

SELinux может сломать всё после перезапуска. Сбрось контексты заранее:

touch /.autorelabel

Помните: Если включён LUKS – без ключа обойтись не получится. Single режим не магия.

Метод грубый. Резкий. Но он работает. Особенно, когда всё остальное не работает совсем.

Смена пароля обычного пользователя с помощью root-доступа

Откройте терминал. Выполните вход с полномочиями администратора. Без вариантов.

Выполните команду:

su -

Проверьте, кто в системе активен:

getent passwd | grep '/home'

Имя нужно точное. Ошибка – получите молчание или системное сообщение, от которого пользы ноль.

Далее – самое главное:

passwd имя_учетной_записи

Система запросит дважды ввести новый код доступа. Не совпали? Попробуйте ещё раз. Логов не будет. Ошибки не простит.

Внимание! Убедитесь, что выбранный аккаунт не системный. Изменение кода для служб – прямой путь к падению критичных демонов.

Проверить изменения можно так:

su - имя_учетной_записи

Если вход успешен – задача выполнена.

У вас SELinux в enforcing? Проверьте контексты домашнего каталога:

restorecon -Rv /home/имя_учетной_записи

Без этого некоторые сеансы не стартуют. Молча. Без ошибок. Просто черный экран или бесконечный loop. Головная боль на пустом месте.

Работаете в среде с PAM-контролем? Тогда ещё одно:

faillock --user имя_учетной_записи --reset

Если не сбросить счётчик – новый код не сработает, даже если он идеален.

Важно помнить: Red OS может использовать специфическую настройку аудита и блокировок через pam_tally2 или faillock. Проверьте, что вы управляете правильным модулем.

Никаких GUI. Только терминал. Только жёсткий контроль. Надёжно. Молниеносно.

Сброс пароля root при утере доступа без LiveCD

Перезагрузка. На экране GRUB – не дожидаемся таймера. Нажимаем e.

Находим строку, начинающуюся с linux или linux16. В её конце добавляем:

init=/bin/bash

Нажимаем Ctrl+X или F10 для запуска.

Система не загружается – она останавливается в однопользовательском режиме. Корневая файловая система только для чтения. Меняем:

mount -o remount,rw /

Проверяем:

mount | grep ' / '

Если ro, повторяем. Иначе продолжаем. Запускаем утилиту:

passwd

Смена завершена? Отлично. Теперь не забываем синхронизировать и корректно завершить:

sync
exec /sbin/init
reboot -f

Важно: при использовании LUKS этот метод неприменим. Придётся искать Live-среду.

Помните: если установлен SELinux – после смены обязательна команда touch /.autorelabel, иначе загрузка пойдёт по швам.

• GRUB защищён паролем? Без доступа к конфигурации не обойтись.
• Зашифрованная система? Вариантов без Live-среды нет.
• Нужна автоматизация? Используйте Ansible с preseed-скриптами, но это отдельный разговор.

Метод рабочий, проверен на сборках Red OS версии 7.3 и 8.0. В новых релизах возможны отличия в структуре загрузчика. Проверяйте.

Использование LiveCD для сброса пароля root и пользователя

Загрузиться с LiveCD – первое, что нужно сделать. ISO-образ Red OS доступен на официальном сайте, запишите его на флешку с помощью dd или balenaEtcher. В BIOS/UEFI включите загрузку с USB. Система загружается в live-режиме, окружение GNOME по умолчанию.

Откройте терминал. Выполните lsblk или fdisk -l, чтобы определить, на каком разделе установлен основной том. Как правило, это /dev/sda2 или /dev/mapper/VolGroup00-LogVol00 при LVM. Смонтируйте корневую файловую систему:

mkdir /mnt/sysimage
mount /dev/mapper/VolGroup00-LogVol00 /mnt/sysimage

Если используется LVM, проверьте активность томов:

vgchange -ay

Смонтируйте системные каталоги:

mount -t proc /proc /mnt/sysimage/proc
mount --rbind /dev /mnt/sysimage/dev
mount --rbind /sys /mnt/sysimage/sys

Входим в chroot:

chroot /mnt/sysimage

Теперь можно изменить хэш нужной учётной записи. Сначала проверьте, какие аккаунты доступны:

cat /etc/passwd

Измените секретный идентификатор с помощью passwd:

passwd root

Или другой учетной записи, например:

passwd testuser

Важно помнить: при использовании SELinux могут возникать ошибки доступа после перезагрузки. Выполните touch /.autorelabel перед выходом из chroot.

Выход из chroot:

exit

Отмонтируйте всё в обратном порядке:

umount -l /mnt/sysimage/dev
umount -l /mnt/sysimage/sys
umount -l /mnt/sysimage/proc
umount -l /mnt/sysimage

Перезагрузитесь. В BIOS верните приоритет загрузки на жёсткий диск.

Внимание! Если используется файловая система Btrfs, монтирование нужно проводить с учётом подтомов. Пример: mount -o subvol=@ /dev/sda2 /mnt/sysimage

Что делать, если passwd отказывается принимать новый ключ доступа? Проверяйте права на /etc/shadow. Возможны сбои после некорректного завершения работы. Пересоздайте файл вручную, если повреждён. Используйте pwconv после восстановления.

Это метод жёсткий, прямолинейный, но рабочий. Хватает один раз, чтобы запомнить навсегда.