Так как Linux — платформа многопользовательская, да еще и с особым уклоном в безопасность, то приходится иметь дела с полномочиями и паролями. Последний особенно часто нужен даже для выполнения тривиальных задач вроде установки свежего программного обеспечения.
Как и в других системах, пароли в Linux иногда приходится менять. В большинстве случаев это приходится делать чисто из соображений безопасности. Когда одним устройством пользуется группа людей, каждому выдается свой пароль. Время от времени их нужно менять для профилактики взлома и потенциальных утечек.
Если речь идет о каком-нибудь администрируемом сервере, то наверняка пользователь с наивысшими полномочиями вынуждает других менять пароль чуть ли не каждый месяц, а того и чаще. Все зависит от требований конкретного человека.
Собственно, об этом и поговорим. Как сменить пароль в Linux, каким должен быть этот пароль, как заставить поменять пароль других пользователей и так далее. Полный экскурс в мир безопасности на платформе Linux.
Сброс пароля в Ubuntu 20.04/22.04/22.10/23.04.
Утилита passwd
Вообще, в Linux есть несколько программ для управления паролями. Многие из них имеют графический интерфейс и визуально напоминают таковые из других операционных систем (Windows или macOS). Но использовать их все вовсе не обязательно, потому что есть универсальный способ изменения пароля, который вшит в Linux и поддерживается на любом дистрибутиве. Речь об утилите passwd.
Принцип ее работы заключается в изменении содержимого файла /etc/shadow. Это текстовый файл, в котором хранятся пароли. Пароли эти хранятся в зашифрованном виде, которые невозможно расшифровать. При этом пароль в этом файле можно заменить, но так как это процедура сложная, то проще воспользоваться специальной программой.
Также у passwd есть еще несколько преимуществ. С помощью нее можно вынуждать менять пароли других пользователей, а также ставить сроки действия пароля. То есть устанавливать некий таймер, по истечении работы которого пароль просрочится и перестанет работать. А еще можно проделывать любые махинациями с паролями других пользователей.
Синтаксис и опции утилиты passwd
Команды с использованием утилиты passwd строятся по следующей схеме: сначала пишем название самой программы, потом прописываем нужные опции, а потом имя пользователя, на которого будут применены описанные действия.
passwd (название утилиты) опции и имя пользователя .
Как видите, все довольно просто. Легко запомнить и самостоятельно разобраться.
А вот и список доступных опций:
- -d — с помощью этой опции можно удалить пароль у любого пользователя без возможности его вернуть (придется создавать новый). Естественно, после выполнения этой команды пользователь не сможет зайти в систему.
- -e — эта опция обозначает пароль выбранного пользователя устаревшим. Если ею воспользоваться, то система при следующей попытке пользователя войти, вынудит его сменить пароль, объясняя требование как раз-таки устаревшим паролем.
- -iи время — если воспользоваться этой опцией и указать определенный период времени, то после устаревания пароля, спустя этот временной отрезок пользователь будет удален из системы. Если в течение действия опции пользователь успеет заменить пароль на новый, то с учетной записью ничего не произойдет и она будет работать так же, как и раньше.
- -l — эта опция никак не связана с изменением пароля. Она выполняет одну простую функцию — блокирует пользователю доступ к системе.
- -u — а эта пригодится, чтобы разблокировать аккаунт и вернуть доступ выбранному пользователю.
- -nи количество — с помощью этой опции можно указать минимальное количество суток, которое должно пройти с последней смены пароля, чтобы вновь можно было изменить пароль выбранного пользователя.
- -S — воспользуйтесь этой опцией, чтобы получить полный перечень параметров, связанных с паролем у выбранной учетной записи. Она показывает, когда был установлен пароль, как часто он должен меняться, когда следующая смена, придет ли оповещение о необходимости сменить пароль и прочие полезные данные.
- -xи количество — этим параметром задается количество дней, в течение которого выбранный пользователем пароль будет являться актуальным.
- -wи количество — здесь тоже указывается количество дней. Спустя указанное количество суток после смены пароля (именно тогда вступает в действие эта опция) пользователь получит предупреждение о том, что его пароль устарел и его необходимо сменить.
Дальше поговорим о конкретных примерах использования passwd с некоторыми из перечисленных опций.
Как сбросить пароль для входа в Linux
Меняем свой пароль
Начнем с самой простой и, наверное, самой востребованной операции. Обычная смена пароля для самого себя. То есть для пользователя, под данными которого вы выполнили вход и от лица которого запустили терминал.
- Для смены пароля просто вводим команду passwd . Никакие опции и параметры здесь не нужны. Программа сама определит, что вы за пользователь, а отсутствие опций даст ей понять, что нужно без лишней суеты просто поменять пароль.
Источник: dzen.ru
Linux узнать свой пароль
В Linux нет особого реестра, где бы хранились настройки программ, данные пользователей и другие компоненты системы. Всё хранится в файлах. В этой небольшой статье мы поговорим о том, где хранятся пароли пользователей Linux.
Изначально для хранения паролей использовался файл /etc/passwd. Но этот файл доступен для чтения всем пользователям. Поэтому, из соображений безопасности, пароли пользователей были перенесены в файл /etc/shadow. Этот файл доступен для чтения только пользователю root. Важно отметить, что пароли в этом файле хранятся не в открытом виде, а в хэшированном.
Существует несколько алгоритмов хэширования паролей для Linux. Подробно всё это рассматривалось в статье про смену пароля Linux. Сейчас же давайте посмотрим на общий синтаксис файла /etc/shadow: sudo cat /etc/shadow
- root — имя пользователя, для которого сохранен пароль;
- $6$yr. — хэш пароля, длина хэша от пароля никак не зависит, в данном случае зашифровано слово password;
- 18376 — дата последнего изменения пароля;
- 0 — количество дней на смену пароля, если его срок действия истёк;
- 999999 — количество дней от момента последней смены пароля до момента, когда надо сменить пароль принудительно;
- 7 — за сколько дней пользователь будет предупреждён о необходимости смены пароля.
- Ещё три поля — задают параметры отключения учётной записи пользователя.
Это всё, что следует знать об этом файле. В Linux есть ещё одно место, где приложения хранят свои пароли, SSH-ключи и другие секретные данные. Это хранилище ключей. В Gnome утилита называется SeaHorce. Вы можете найти её по названию в главном меню:
В самой утилите вы сможете найти и удалить ключи от различных приложений, ключ от хранилища паролей Chromium, токен доступа в Skype, а также все SSH-ключи, добавленные к вашей системе.
Естественно, здесь всё тоже захэшировано и просто прочитать пароль не получиться, если, конечно, какое-нибудь приложение не хранит их в открытом виде. Теперь вы знаете, где хранятся пароли в Linux. На этом всё.
Как узнать пароль на root
как можно изменить пароль? не могу войти на компьютер. спрашивает пароль пользователя? как я могу найти его.
4 ответа 4
По поводу заголовка вопроса:В Убунте вход от имени пользователя root по-умолчанию запрещён, и пароля у него нет. Воспользуйтесь командой sudo и вводите свой пароль. Пользователь, соответственно, должен иметь привилегии (см /etc/sudoers).Ссылко
Можно только сбросить на новый при наличии физического доступа к машине — http://habrahabr.ru/post/54103/
Узнать пароль просто так не получится, но зато его можно сбросить, установить новый. Есть несколько простых способов это сделать.
Загрузка в однопользовательский режим
Если на нужной машине в качестве загрузчика используется GRUB без пароля, подойдут такие действия.
- Включите компьютер и дождитесь экрана выбора ОС (если выбор не появляется, нужно нажать клавишу ESC во момент загрузки).
- Как только удалось попасть в меню загрузчика, наведите курсор на нужную систему и нажмите клавишу E . Вы попадёте в простой редактор для этого пункта.
- Найдите строчку, начинающуюся с linux , и добавьте в конец слово single .
- Загрузитесь с изменёнными настройками, нажав F10 .
- Через некоторое время вы попадёте в привилегированный режим. Наберите там команду passwd пользователь и установите пароль указанного пользователя системы.
- Затем введите команду exit , и загрузка продолжится как обычно. Но пароль уже будет сменён.
Подмена демона инициализации
Однопользовательский режим загрузки может быть заблокирован*. В этом случае можно попытаться подменить путь к программе начальной инициализации.
-
Для этого на этапе редактирования настроек пункта в загрузчике (см. №3 выше) надо вместо параметра single писать init=/bin/bash .
Загрузившись (клавиша F10 ), надо примонтировать корневой раздел на запись.
Затем аналогично меняете пароль утилитой passwd.
* в systemd это делается маскированием юнита rescue.target .
Загрузка с Live образа
Администратор может запретить менять параметры загрузки, поставив пароль на GRUB. Это осложнит предыдущие пункты, и придётся прибегнуть к помощи установочной флешки.
Загрузив Live систему с флешки (или по-старинке с CD), в терминале примонтируйте системный раздел целевой ОС. Найти его можно утилитами fdisk или GParted.
Потом смените корневой каталог
Смените пароль также как и в предыдущих вариантах программой passwd.
В качестве противодействия этому варианту предлагается поставить пароль и на BIOS и повесить замок на корпус или опечатать его.
Редактирование базы данных пользователей
В предыдущем случае, чтобы прошёл фокус со сменой корня, подопытная система и система с флешки должны быть архитекурно совместимы. Если это не так, можно отредактировать файл /etc/passwd целевой ОС.
-
Откройте passwd файл, который содержит список пользователей, в любом текстовом редакторе (или даже в любой ОС, в которой есть поддержка линуксовой ФС).
Найдите нужного пользователя (имена в первой колонке до двоеточия) и уберите любые символы вплоть до второго двоеточия в строке. Это сбросит пароль пользователя на пустой.
Пример: в файле было
Загрузившись в целевую систему желательно заново установить пароль.
Но на самом деле, что по-настоящему защитить данные от несанкционированного доступа, их стоит зашифровать. В этом случае можно быть уверенным, что вышеизложенные инструкции не подойдут. А если вы вдруг забыли пароль от криптоконтейнера, то самое простое решение — забыть про него. Впрочем, это не тема настоящего ответа.
можно ли узнать пароль пользователя?
Проблемы с сыном (14 лет), болен интернетом (соц сетями). Решил регулировать доступ. Поставил linux mint 17 (сделан из ubuntu 14.04, сам пользую mint mate 13). Создал пользователя. Пароль взял предложенный системой, безсмысленный набор символов. Пароль никому не показывал, не записывал, просто запомнил.
Оставил сына на некоторое время в системе, не смотрел, что делает (живем не вместе, приходится оставлять). Сейчас узнаю, что он как то узнал пароль пользователя и пользует комп в мое отсутствие. Как это можно сделать? Всегда считал, что линух не взломать и пользуюсь им уже много лет. Прочитал кучу статей по этому поводу.
Везде пишут, что можно только скинуть пароль рута, используя при загрузке восстановление системы. Но пароли не изменились. Подскажите кто знает. Сына надо лечить ограничением доступа в инет.
Коллега на работе рассказывал, что его брат узнал пароль у отца оставив фотомыльницу на запись так, чтобы она была направлена на клавиатуру.
Сына надо лечить ограничением доступа в инет.
А больше времени с ним проводить не приходила мысль? По теме — мог много раз видеть, как ты набираешь и запомнить. Дети на такое способны.
пароль узнать нельзя. Строго говоря, система его тоже не знает, она знает только как проверить верен ли он.
Из возможных вариантов:
— загрузился в режиме восстановления системы, создал нового пользователя
— поменял пароль рута и работает из под него
Вообще, советую посмотреть /etc/passwd на предмет появления новых пользователей.
Хотя вариант с подсмотренным паролем тоже очень даже имеет право на существование
При входе в систему сына рядом не было. Мысль правильная, но не реализуемая. Живем не вместе.
Это понятно. А где нибудь фиксируется кто и когда входил в систему?
Сейчас узнаю, что он как то узнал пароль пользователя и пользует комп в мое отсутствие. Как это можно сделать?
Скорее всего init=/bin/bash через граб
Значит в самом деле видео записал. И проверить нет ли новых пользователей. А еще такое — он точно сидит с установленной ОС? Может с флешки какой-то. Если нет, то ваш сын смог сделать то, что считается практически невозможным.
Кстати, а загрузка с флешки разрешена? Правда нужно ещё ограничить сброс биоса, а то можно просто грузиться с флешки-лайвсиди и использовать интернет вдоволь.
Немного по подробнее можно? Я не очень в администрировании.
А где нибудь фиксируется кто и когда входил в систему?
В системных log-файлах, в зависимости от дистрибутива.
live cd запускает наверное ::)
В меню grub нажимаем «Е» на клавиатуре и в конец строки linux вводим init=/bin/bash
Затем там уже меняем пароль пользователя
Ограничивай не доступ к пк, а доступ к сети.
То есть доступ был ограничен только паролем к установленной системе? Не был запрещён доступ в биос, не запрещена загрузка с внешних носителей, не запрещёно редактирование меню grub, доступ внутрь системника тоже не ограничен?
Ограничивай не доступ к пк, а доступ к сети.
Проще отказаться от услуг провайдера. Но пацанчика это не остановит Придется запрещать весь город или держать пацана взаперти
сделай в кроне проверку пароля по хешу, если пароль отличается от эталонного меняешь его, или при загрузке проверь пароль, в общем вариантов много. А вообще гордись сыном!
А больше времени с ним проводить не приходила мысль?
Источник: onecomp.ru
Как поставить пароль на файл или папку в Linux
Есть несколько способов разных по реализации и по логике.
1. Шифрование домашнего каталога.
Если при установке Linux ставили галку «шифровать домашний каталог, то не пуская и не давая пароль от своей учётной записи, мы гарантированно имеем ограничение доступа ко всему тому, что находится у нас в домашнем каталоге.
2. Права отдаём root-у.
Присваиваем файлу или папке нового владельца (root).
sudo chown root:root путь/к/файлу/или/папке
Потом оставляем права на чтение и запись только root-у.
sudo chmod 600 путь/к/файлу/или/папке
Не зная пароль root, нельзя ничего сделать ни с папкой ни с файлом.
3. Архивируем с паролем.
Ежели в графической оболочке, то так: нажимаем правой кнопкой на файле (файлах) или папке и выбираем „сжать“, потом пишем пароль в параметрах.
Универсальный способ архивирования в консоли:
zip -P ПАРОЛЬ куда/шифруем.zip что/шифруем
4. Пароль на папку.
Можно использовать программу EncFs, работает в консоли. Графической оболочкой для EncFS будет Cryptkeeper.
Он ставится отдельно.
5. Пароль на файл.
Для этого используем openssl.
Шифруем из консоли:
cat что/шифруем | openssl enc -e -aes-256-cbc -k ПАРОЛЬ > куда/шифруем
Только не шифруем файл сам в себя .
Расшифровка:
cat что/расшифровываем | openssl enc -d -aes-256-cbc -k ПАРОЛЬ > куда/расшифровываем
Источник: tavportal.ru