Смена пароля астра линукс
Обновлено: 04.07.2024
Так как Linux — платформа многопользовательская, да еще и с особым уклоном в безопасность, то приходится иметь дела с полномочиями и паролями. Последний особенно часто нужен даже для выполнения тривиальных задач вроде установки свежего программного обеспечения.
Как и в других системах, пароли в Linux иногда приходится менять. В большинстве случаев это приходится делать чисто из соображений безопасности. Когда одним устройством пользуется группа людей, каждому выдается свой пароль. Время от времени их нужно менять для профилактики взлома и потенциальных утечек.
Если речь идет о каком-нибудь администрируемом сервере, то наверняка пользователь с наивысшими полномочиями вынуждает других менять пароль чуть ли не каждый месяц, а того и чаще. Все зависит от требований конкретного человека.
Собственно, об этом и поговорим. Как сменить пароль в Linux, каким должен быть этот пароль, как заставить поменять пароль других пользователей и так далее. Полный экскурс в мир безопасности на платформе Linux.
Утилита passwd
Вообще, в Linux есть несколько программ для управления паролями. Многие из них имеют графический интерфейс и визуально напоминают таковые из других операционных систем (Windows или macOS). Но использовать их все вовсе не обязательно, потому что есть универсальный способ изменения пароля, который вшит в Linux и поддерживается на любом дистрибутиве. Речь об утилите passwd.
Принцип ее работы заключается в изменении содержимого файла /etc/shadow. Это текстовый файл, в котором хранятся пароли. Пароли эти хранятся в зашифрованном виде, которые невозможно расшифровать. При этом пароль в этом файле можно заменить, но так как это процедура сложная, то проще воспользоваться специальной программой.
Также у passwd есть еще несколько преимуществ. С помощью нее можно вынуждать менять пароли других пользователей, а также ставить сроки действия пароля. То есть устанавливать некий таймер, по истечении работы которого пароль просрочится и перестанет работать. А еще можно проделывать любые махинациями с паролями других пользователей.
Синтаксис и опции утилиты passwd
Команды с использованием утилиты passwd строятся по следующей схеме: сначала пишем название самой программы, потом прописываем нужные опции, а потом имя пользователя, на которого будут применены описанные действия.
passwd (название утилиты) опции и имя пользователя .
Как видите, все довольно просто. Легко запомнить и самостоятельно разобраться.
А вот и список доступных опций:
- -d — с помощью этой опции можно удалить пароль у любого пользователя без возможности его вернуть (придется создавать новый). Естественно, после выполнения этой команды пользователь не сможет зайти в систему.
- -e — эта опция обозначает пароль выбранного пользователя устаревшим. Если ею воспользоваться, то система при следующей попытке пользователя войти, вынудит его сменить пароль, объясняя требование как раз-таки устаревшим паролем.
- -iи время — если воспользоваться этой опцией и указать определенный период времени, то после устаревания пароля, спустя этот временной отрезок пользователь будет удален из системы. Если в течение действия опции пользователь успеет заменить пароль на новый, то с учетной записью ничего не произойдет и она будет работать так же, как и раньше.
- -l — эта опция никак не связана с изменением пароля. Она выполняет одну простую функцию — блокирует пользователю доступ к системе.
- -u — а эта пригодится, чтобы разблокировать аккаунт и вернуть доступ выбранному пользователю.
- -nи количество — с помощью этой опции можно указать минимальное количество суток, которое должно пройти с последней смены пароля, чтобы вновь можно было изменить пароль выбранного пользователя.
- -S — воспользуйтесь этой опцией, чтобы получить полный перечень параметров, связанных с паролем у выбранной учетной записи. Она показывает, когда был установлен пароль, как часто он должен меняться, когда следующая смена, придет ли оповещение о необходимости сменить пароль и прочие полезные данные.
- -xи количество — этим параметром задается количество дней, в течение которого выбранный пользователем пароль будет являться актуальным.
- -wи количество — здесь тоже указывается количество дней. Спустя указанное количество суток после смены пароля (именно тогда вступает в действие эта опция) пользователь получит предупреждение о том, что его пароль устарел и его необходимо сменить.
Дальше поговорим о конкретных примерах использования passwd с некоторыми из перечисленных опций.
Меняем свой пароль
Начнем с самой простой и, наверное, самой востребованной операции. Обычная смена пароля для самого себя. То есть для пользователя, под данными которого вы выполнили вход и от лица которого запустили терминал.
Этичный хакинг и тестирование на проникновение, информационная безопасность
Если вы не можете войти в систему Linux из-за того, что забыли пароль учётной записи пользователя, то не всё потеряно! Хотя этот пароль нельзя узнать (простыми методами), но его можно сбросить и заменить на новый, данная инструкция расскажет, что делать, если забыли пароль пользователя в Linux.
Как поменять пароль для пользователя Linux
Любые пользователи из группы администраторов (чей аккаунт входит в группу wheel) могут поменять пароль для любого другого пользователя – как для непривилегированных учётных записей, так и для других администраторов, в том числе для root’a. Т.е. если вы забыли пароль root, но помните пароль пользователя, имеющего право на выполнение команд с sudo, то пароль может восстановить командой passwd. Чтобы поменять пароль пользователя root выполните:
Чтобы поменять пароль любого пользователя выполните:
Где вместо имя_пользователя нужно подставить имя учётной записи пользователя Linux.
Что делать если забыт пароль от входа Linux
Если у вас нет других административных учёток и, забыв пароль учётной записи Linux, вы не можете войти в операционную систему, то для сброса пароля нам понадобиться однопользовательский режим.
В однопользовательском режиме для входа не спрашиваются учётные данные (логин, пароль), при этом вошедший обладает правами суперпользователя. В данном режиме, используя знакомую команду passwd, есть возможность задать новый пароль.
Алгоритм во всех дистрибутивах Linux схож:
- Прерывание работы загрузчика GRUB
- Добавление опции загрузки, включающей однопользовательский режим
- Возобновление загрузки
- Изменение пароля командой passwd
- Перезагрузка в обычном режиме
Обратите внимание, что изменения, внесённые на втором шаге (изменение опций загрузки), являются временными – действуют только на одну последующую загрузку. Поэтому при перезагрузке на пятом шаге не нужно ничего предпринимать – система включится в обычном режиме.
Для перемещения в конец строки и в начало строки (на втором шаге) используйте сочетания клавиш Ctrl+a и Ctrl+e.
Хотя алгоритм сброса пароля root схож, но в различных дистрибутивах могут быть свои нюансы, рассмотрим их подробнее.
Примечание для UEFI: Если у вас используется UEFI вместо GRUB, то смотрите также эту статью, в ней рассказано, как изменить опции загрузки в этом случае.
Кстати: если вы хотите защитить систему от смены пароля, описанного в этой статье, смотрите материал «Как защитить загрузчик GRUB паролем».
Сброс пароля в Linux Mint, Ubuntu, Debian, Kali Linux (также должно работать для других производных Debian)
Чтобы прервать загрузку GRUB (первый шаг) во время запуска компьютера нажмите и удерживайте клавишу SHIFT – это работает всегда, даже на Linux Mint, где по умолчанию показ меню GRUB отключён.
Остановите загрузку удерживая клавишу SHIFT при запуске компьютера, вы увидите:
Нажмите клавишу «e» и вы перейдёте к редактированию настроек загрузки:
На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux:
Перейдите в конец этой строки, поставьте пробел и допишите:
Должно получиться примерно так (номер ядра может отличаться):
Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.
Вы увидите приглашение оболочки, также обратите внимание, что мы вошли как root, т.е. у нас имеются повышенные привилегии, в том числе на использование команды passwd:
Командой passwd меняем пароль, как можно увидеть, команда passwd завершилась ошибкой:
Чтобы понять причину ошибки, введём команду:
Буквы ro говорят о том, что файловая система смонтирована только для чтения и по этой причине сделанные изменения не могут быть сохранены. Перемонтируем файловую систему:
Как видим, после этого смена пароля прошла успешно:
Для выхода наберите:
Чтобы выключить компьютер выполните:
Или перезагрузите компьютер командой:
Как сбросить пароль в Arch Linux, BlackArch (а также в других производных Arch Linux)
Во время появления меню GRUB нажмите клавишу «a», чтобы остановить загрузку:
Затем нажмите «e» для перехода к редактированию параметров загрузки:
На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux.
Перейдите в конец этой строки, поставьте пробел и допишите:
Должно получиться примерно так:
Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.
В Arch Linux файловая система по умолчанию монтируется с правами на запись. Поэтому можно сразу перейти к смене пароля с помощью команды
Для выхода наберите:
Чтобы выключить компьютер выполните:
Или перезагрузите компьютер командой:
Сброс пароля в RHEL/CentOS 7
Кроме необходимости смонтировать файловую систему для запиши, в RHEL/CentOS 7 также имеется особенность, связанная с наличием SELinux.
Во время появления меню GRUB нажмите клавишу «a», чтобы остановить загрузку:
Затем нажмите «e» для перехода к редактированию параметров загрузки:
На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux16:
Найдите часть строки
Должно получиться примерно так:
Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.
Проверим права на запись:
Как можно убедиться, права на запись отсутствуют. Перемонтируем файловую систему с правами записи:
Пароль изменён, но дело ещё не закончено. Нам нужно переобозначить контекст SELinux. Если мы не выполним переобозначение всего контекста SELinux, мы не сможем войти используя новый пароль. Для этого:
Для выхода наберите:
Чтобы выключить компьютер выполните:
Или перезагрузите компьютер командой:
Что такое группа wheel в Linux
Применительно к компьютерам, термин wheel относится к учётным записям пользователя с битом wheel – системному параметру, который предоставляет дополнительные специальные системные привилегии, которые позволяют пользователю выполнять команды для служебного пользования, к которым обычные пользователи не могут получить доступ. Этот термин происходит от сленговой фразы big wheel (букв. «большое колесо»), отсылающего на человека с большой властью или влиянием. Он был впервые использован в этом контексте в отношении операционной системы TENEX, позже распространенной под названием TOPS-20 в 1960-х и начале 1970-х годов.
Этот термин был принят пользователями Unix в 1980-х годах из-за движения разработчиков операционной системы и пользователей от TENEX/TOPS-20 к Unix.
Современные системы Unix обычно используют группы пользователей в качестве протокола безопасности для управления правами доступа. Группа wheel – это особая группа пользователей, используемая в некоторых системах Unix для управления доступом к команде sudo, которая позволяет пользователю маскироваться как другой пользователь (обычно суперпользователь).
Что такое однопользовательский режим в Unix
Однопользовательский режим – это режим, в котором многопользовательская компьютерная операционная система загружается в одиночного суперпользователя. Этот режим в основном используется для обслуживания многопользовательских сред, таких как сетевые серверы. Для некоторых задач может потребоваться эксклюзивный доступ к общим ресурсам, например, запуск fsck в сетевом ресурсе. Этот режим также может использоваться в целях безопасности – сетевые службы не запускаются, что исключает возможность внешних помех. В некоторых системах потерянный пароль суперпользователя можно изменить, переключившись на однопользовательский режим. Поскольку при входе в этот решим не запрашивается никакой пароль, это можно рассматривать как уязвимость безопасности.
Unix-подобные операционные системы обеспечивают однопользовательский режим работы либо с помощью уровня выполнения в стиле System V, либо с загрузчиками в стиле BSD, либо с другими параметрами загрузки.
Уровень выполнения обычно изменяется с помощью команды init, уровень выполнения 1 или S будет загружаться в однопользовательский режим.
Параметры загрузчика могут быть изменены во время запуска перед выполнением ядра. В FreeBSD и DragonFly BSD он может быть изменен перед перезагрузкой системы с помощью команды nextboot -o "-s" -k kernel, и ее загрузчик предложит возможность загрузки в однопользовательском режиме. В Solaris команда
приведет к перезагрузке в однопользовательском режиме.
В GRUB 2 нельзя изменить пароль в однопользовательском режиме?
В официальной документации Red Hat мне встретилось утверждение, что в GRUB 2 больше не выполняется сброс пароля в однопользовательском режиме, как это было в GRUB. И что теперь для работы в однопользовательском режиме, а также в аварийном режиме требуется пароль рута. Возможно, это применимо только к последним версиям Red Hat Enterprise Linux, поскольку, как видно из этой инструкции и скриншотов, в GRUB 2 можно изменить пароль в однопользовательском режиме. В документации, на которую дана ссылка, описано два способа сброса пароля root в Red Hat Enterprise Linux на тот случай, если описанный здесь метод не сработал.
В данной статье я хочу рассказать о том, как изменять пароль пользователя в Linux. Я рассмотрю универсальный способ изменения пароля через командную строку, чтобы не привязываться к конкретному дистрибутиву.
Для изменения паролей в Linux служит команда passwd. Команду можно выполнять без указания каких-либо параметров, либо явно указать имя пользователя, пароль которого вы хотите сменить (в данном случае требуются права суперпользователя). После чего вам нужно будет ввести текущий пароль, а затем дважды ввести новый пароль.
Меняем пароль текущего пользователя
Чтобы сменить пароль текущего пользователя выполните команду passwd без параметров:
После этого нужно будет ввести текущий пароль и нажать клавишу Enter, затем ввести новый пароль и снова нажать Enter и, наконец, еще раз ввести новый пароль и нажать Enter.
Обратите внимание на то, что когда вы вводите пароль, он не отображается на экране.
Это означает, что вы ввели очень простой (или короткий) пароль. В таком случае повторите команду passwd и введите более сложный пароль (как минимум длиной от 6 до 8 символов, пароль должен включать цифры, прописные и строчные символы). Чтобы избежать проверки пароля на сложность необходимо выполнять команду passwd через sudo (см. ниже).
Меняем пароль произвольного пользователя
Чтобы сменить пароль любого пользователя вам необходимо запускать программу passwd под пользователем root или через sudo. Например, чтобы сменить пароль пользователя с именем pingvinus необходимо выполнить:
В данном случае вам нужно будет ввести только новый пароль:
Здесь пароль не проверяется на сложность и можно задавать совсем простые и короткие пароли.
Дополнительная информация
Я рассмотрел два простых способа для быстрого изменения паролей пользователей. Получить полный список возможностей команды passwd можно, выполнив в терминале:
Когда мы запускаем команду passwd , мы открываем файл /etc/shadow там хранится зашифрованный пароль пользователя.
Обычному пользователю (не являющемуся пользователем root) будет разрешено только изменить свой пароль. А пользователи root или sudo могут менять пароль для любых учетных записей.
По соображениям безопасности всегда рекомендуется использовать надежный пароль и регулярно его менять.
Изменение пароля в Linux обычного пользователя
Если команда passwd выполняется пользователем, не являющимся пользователем root, то он запросит текущий пароль, а затем установит новый пароль этого пользователя. Суперпользователь может сбросить пароль для любого пользователя, включая суперпользователя, не зная текущего пароля.
Если команда passwd вызвана пользователем, не являющимся пользователем root, вы должны сначала указать существующий пароль, прежде чем приступать к его изменению. Пароль должен быть введен дважды, и он не отображается на экране при вводе.
$ passwd
Changing password for vagrant.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Вы также не можете указывать простые слова в качестве паролей. Команда Passwd проверит, насколько длинным и сложным является ваш пароль. В следующем примере используется простой пароль на основе словаря.
$ passwd
Changing password for vagrant.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
You must choose a longer password
Enter new UNIX password:
Retype new UNIX password:
Bad: new password is too simple
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Изменение пароля от имени суперпользователя (root) в Linux
Любой пользователь системы может изменить только свой пароль. Команда passwd не принимает никаких аргументов, когда она выполняется от имени обычного пользователя.
Но если вы войдете как root, тогда вы можете изменить и сбросить пароль любого пользователя в системе.
Синтаксис команды выглядит следующим образом:
Различные варианты, которые можно использовать:
Когда пользователь root запускает команду passwd , он сбрасывает пароль пользователя root по умолчанию. А если вы укажете имя пользователя после команды passwd , то он изменит пароль этого пользователя.
Вот небольшой пример:
Пользователь Root может устанавливать простые пароли. Отобразится предупреждение, но пароль все равно успешно изменится. Пароль системного пользователя хранится в зашифрованном виде в файле /etc/shadow.
Отображение Информации о Состоянии Пароля в Linux
Чтобы отобразить информацию о состоянии пароля нужного пользователя, используйте опцию -S в команде passwd. Ниже приведен пример использования параметра -S.
Первое поле показывает имя пользователя, второе поле показывает статус пароля ( PS = Пароль установлен , LK = Пароль заблокирован , NP = Пароля нет ), третье поле показывает, когда пароль был изменен в последний раз, а последнее и четвертое поля показывает возраст, максимальный возраст, период предупреждения и период бездействия для пароля.
Для отображения статуса всех паролей пользователей в системе мы будем использовать параметр -Sa :
Удаление пароля Пользователя в Linux
Чтобы удалить пароль нужного пользователя, мы будем использовать опцию -d в командной строке:
Примечание: Опция -d сделает пароль пользователя пустым и отключит учетную запись пользователя.
Установка Срока Действия Пароля в Linux
Чтобы срок действия пароля пользователя истек и заставить этого пользователя изменить пароль при следующем входе в систему, используйте опцию -e в команде passwd .
Блокировка и разблокировка пароля пользователя в системе Linux
Чтобы заблокировать пароль пользователя, используйте опцию -l в команде passwd .
Примечание: Пользователь не может изменить свой пароль, если его/ее пароль заблокирован.
Чтобы разблокировать пароль пользователя, используйте опцию -u :
Установка неактивных дней с помощью опции -i
Когда срок действия пароля выбранного пользователя истек и пользователь не изменил свой пароль в течение n дней (т. е. 10 дней). После этого пользователь не сможет войти в систему.
Установка дней для смены пароля
В приведенном ниже примере тестовый пользователь должен сменить пароль в течение 30 дней. Значение, равное нулю, показывает, что пользователь может изменить свой пароль в любое время.
Заключение
В этой статье мы показали, как изменить пароль пользователя в Linux. Для получения дополнительной информации ознакомьтесь со справкой команды passwd. Спасибо, что прочитали эту статью.
Читайте также: