Ich bin seit einigen Jahren Linux-Admin und weiß, dass ich das Passwort von root ändern kann, wenn ich das System mit einem Live-System neu starte und / oder /etc mounte (hängt von der Verzeichnisverteilung ab). Ich habe jetzt ein größeres Problem.
Ich glaube, bei der Verwendung von VI ist etwas schiefgelaufen und in der ersten Zeile von /etc/passwd wurde der erste Buchstabe in einen Großbuchstaben geändert. Jetzt steht also „Root“ statt „root“. Gibt es eine Möglichkeit, dies als normaler Benutzer zu ändern?
Es läuft auf einem Cisco-Server und ich könnte sogar über iLO und den KVM-Switch auf das System zugreifen. Es gäbe also Möglichkeiten, auf das System zuzugreifen. Aber es ist ein 24/7-System, also kann ich den Server nicht herunterfahren.
Ich wäre für jede Hilfe dankbar, die Sie mir geben können. Vielen Dank.
Antwort1
Dass UID 0 nicht als „root“ bezeichnet wird, bedeutet nicht, dass Sie ausgesperrt sind. Hier ist ein System, nachdem ich es manuell bearbeitet /etc/passwdund /etc/shadowmich mit dem neuen Namen für root wieder angemeldet habe:
SuperUser@sf:~# id
uid=0(SuperUser) gid=0(Root) groups=0(Root)
Verwenden Sie die Schreibweise, in /etc/shadowder die tatsächlich gehashten Passwörter stehen. Allerdings kann nur root diese Datei lesen. Möglicherweise benötigen Sie "root", wenn Sie nur passwd in "Root" geändert haben.
Sie können das Passwort nicht als normaler Benutzer bearbeiten, da dies die Sicherheit beeinträchtigt. Ein Benutzer kann sich als jeder beliebige Benutzer ausgeben und sogar die UID 0 erhalten.
Sie benötigen keinen Texteditor, um Benutzer in lokalen Dateien zu ändern. Weitere Informationen finden Sie auf der Manpage von usermodshadow-utils und in den zugehörigen Befehlen.
Der Betriebssystemadministrator sollte eine Möglichkeit haben, von seinem normalen persönlichen Benutzer zum Root-Benutzer zu werden. Beispielsweise über sudoRegeln oder ein bekanntes Passwort. Wenn Sie den Root-Benutzernamen ändern, sind Sie ein Betriebssystemadministrator.
Sie benötigen immer ein Wartungsfenster für Systemausfallzeiten. Zumindest Sicherheitspatches. Wenn Sie also immer noch keinen Zugriff haben, planen Sie einen Termin ein, um das Problem zu beheben, auch wenn das erst in einigen Monaten passiert.
Antwort2
Haben Sie keinen sudoerauf dem System, auf das Sie Zugriff haben? Wenn nicht, müssen Sie einen Exploit auf dem System finden. Vielleicht etwas, das der Cron von root ausführt und das für Ihren Benutzer beschreibbar ist. Prüfen Sie, /var/spool/cron/rootob etwas zutrifft.
Als nächstes suchen Sie nach Diensten, die Exploits aufweisen. Ein so ausgeführtes Programm rootwürde Ihnen die Ausführung eines beliebigen Befehls ermöglichen oder automatisch ein beschreibbares Skript/Programm ausführen.
Suchen Sie als Nächstes nach Programmen mit setuid()entsprechendem Sticky Bit-Satz und prüfen Sie, ob es dort etwas gibt, das Sie ausnutzen können.
Wenn es sich um ein sofort einsatzbereites System handelt, sind Sie wahrscheinlich aufgeschmissen und müssen den PC herunterfahren, das Laufwerk als Slave in einem anderen Linux-Host mounten und die Datei von dort aus ändern.
Viel Glück!
Antwort3
Ich hoffe, Sie waren noch nie in Ihrer Situation, es ist wirklich schlimm! Ich glaube, es gibt keine Lösung, wenn keine Sudoers konfiguriert sind und kein Neustart durchgeführt werden kann.
Entschuldige, Mann, ich sitze hier schon lange und denke darüber nach, wie ich dieses Problem beheben kann, aber ich fürchte, es geht nichts, ohne dass der Benutzer von diesem System aus (sudo) auf die UID 0 hochstufen kann oder indem er ein Live-System ausführt, um physisch auf die Daten mit der UID 0 zuzugreifen.