{"id":1676,"date":"2016-12-02T17:31:29","date_gmt":"2016-12-02T16:31:29","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1676"},"modified":"2019-12-17T13:50:37","modified_gmt":"2019-12-17T11:50:37","slug":"rhelcentos-7-root-passwort-zuruecksetzen","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/rhelcentos-7-root-passwort-zuruecksetzen\/","title":{"rendered":"RHEL\/CentOS 7 – Root Passwort zur\u00fccksetzen"},"content":{"rendered":"

In diesem Tutorial wird beschrieben, wie das root-Passwort bei RHEL\/CentOS 7 mit Bordmitteln zur\u00fcckgesetzt werden kann. Mit Bordmitteln bedeutet, dass hierbei keine externen Bootmedien verwendet werden.<\/p>\n

Aufgepasst!<\/strong> Macht man bei der Ausf\u00fchrung der folgenden Prozedur Fehler, k\u00f6nnen diese dazu f\u00fchren, dass man jeglichen Zugang zu einem System verliert. M\u00f6chte man die Vorgehensweise \u00fcben, empfehle ich, dies ausschlie\u00dflich auf Testsystemen zu tun.<\/p>\n

Die Ausgangssituation<\/h2>\n

Das root-Passwort eines RHEL\/CentOS 7 Servers ist unbekannt und muss zur\u00fcckgesetzt werden. Es ist keine ge\u00f6ffnete root-Shell vorhanden und es ist kein Benutzer am System angemeldet, welcher \u00fcber vollst\u00e4ndige sudo<\/code>-Berechtigungen verf\u00fcgt.<\/p>\n

Das Passwort soll ohne Einsatz externer Bootmedien zur\u00fcckgesetzt werden.<\/p>\n

Update 2019-12-17:<\/strong> Alternativ zur unten beschriebenen Vorgehensweise, kann bei Systemen, mit sehr gro\u00dfen Dateisystemen die in KB4661061<\/a> beschriebene Vorgehensweise genutzt werden.<\/p>\n

Vorgehensweise<\/h2>\n

Schritt 1:<\/strong> Es wird ein Neustart des Systems durchgef\u00fchrt. Sobald das Grub2-Boot-Men\u00fc erscheint, wird der Bootloader-Countdown durch Dr\u00fccken einer beliebigen Taste unterbrochen.<\/p>\n

Nun w\u00e4hlt man den gew\u00fcnschten Eintrag (dies ist meist der erste in der Liste) aus und wechselt mit Dr\u00fccken der Taste ‚e‘ in den Bearbeitungsmodus (siehe Abbildung 1).<\/p>\n

\"abb1-grub2-menu\"<\/a>

Abbildung 1: Grub2-Bootmen\u00fc<\/p><\/div>\n

Schritt 2:<\/strong> Der Cursor wird zur Kernel-Kommandozeile bewegt. Diese beginnt \u00fcblicherweise mit dem Wort linux16<\/em>. Hier wird, wie in Abbildung 2, ein „rd.break“ an das Ende der Zeile angef\u00fcgt.<\/p>\n

\"edit-kernel-command-line\"<\/a>

Abbildung 2: Bearbeitete Startparameter f\u00fcr den Kernel<\/p><\/div>\n

Die Bearbeitung wird durch Dr\u00fccken der Tastenkombination Strg+x<\/code> beendet und der Bootvorgang fortgesetzt. Der Bootvorgang wird an der Stelle angehalten, an der man sich in der Initial-Ram-Disk<\/em> befindet, direkt bevor das eigentliche System gestartet wird. An dieser Stelle findet man den Inhalt des eigentlichen \/-Dateisystems unterhalb von \/sysroot<\/code>.<\/p>\n

Schritt 3:<\/strong> Nach Schritt 2 befindet man sich nun in einer root-Shell. Da das eigentliche Dateisystem unterhalb von \/sysroot<\/code> schreibgesch\u00fctzt eingeh\u00e4ngt wurde, muss dieses zun\u00e4chst remountet<\/em> werden. Dies geschieht mit dem folgenden Kommando (vgl. Abbildung 3):<\/p>\n

switch_root:\/# mount -oremount,rw \/sysroot\n<\/pre>\n
\"remount-sysroot\"<\/a>
Abbildung 3: Remount \/sysroot<\/p><\/div>\n
Schritt 4:<\/strong> In diesem Schritt wechselt man mittels chroot<\/code>[1. chroot – wiki.ubuntuusers.de<\/a>] in das \/sysroot<\/code>-Verzeichnis und setzt ein neues Passwort f\u00fcr den Benutzer root.<\/p>\n
switch_root:\/# chroot \/sysroot\nsh-4.2# passwd root\nChanging password for user root.\nNew password:\nRetype new password:\npasswd: all authentication tokens updated successfully.\n<\/pre>\n
Wichtig:<\/strong> SELinux[2. Einf\u00fchrung in das grundlegende Konzept von SELinux<\/a>] ist zu diesem Zeitpunkt noch nicht aktiv. Dies bedeutet, dass alle neuen Dateien ohne einen entsprechenden SELinux-Kontext erstellt werden. Das Programm passwd<\/code> arbeitet so, dass es erst eine neue Datei erstellt und mit dieser anschlie\u00dfend die alte Datei \u00fcberschreibt. Die neue Datei \/etc\/shadow<\/code> besitzt damit keinen SELinux-Kontext.<\/p>\n
Um sicherzustellen, dass alle Dateien (inkl. der \/etc\/shadow<\/code>) w\u00e4hrend des Bootvorgangs mit einem SELinux-Label versehen werden, muss die Datei autorelabel<\/code> im aktuellen Verzeichnis erstellt werden:<\/p>\n
sh-4.2# touch \/.autorelabel\n<\/pre>\n
Wichtig:<\/strong> S\u00e4mtliche Dateien und Verzeichnisse werden erneut mit einem SELinux-Label versehen. Dies kann bei gro\u00dfen Dateisystemen einige Zeit dauern. Um Zeit zu sparen, k\u00f6nnen Dateisysteme (au\u00dfer dem Dateisystem auf dem sich die \/etc\/shadow<\/code> befindet) in der \/etc\/fstab<\/em> auskommentiert werden. Nachdem das SELinux-Relabeling durchgef\u00fchrt und das System gestartet wurde, k\u00f6nnen diese wieder eingeh\u00e4ngt werden.<\/p>\n
Abschlie\u00dfend verl\u00e4sst man durch zweimalige Eingabe von exit<\/code> zuerst die chroot<\/code>-Umgebung und anschlie\u00dfend die Debug-Shell der Ram-Disk (vgl. Abbildung 4). Das System setzt den Bootvorgang an der Stelle fort, an der dieser unterbrochen wurde.<\/p>\n
\"autrelabel\"<\/a>
Abbildung 4<\/p><\/div>\n
Es werden zun\u00e4chst s\u00e4mtliche Dateien von SELinux relabelt und anschlie\u00dfend ein Neustart ausgef\u00fchrt.<\/p>\n
Hinweis:<\/em> Vergisst man die Datei .autorelabel<\/code> zu erstellen und wird SELinux im Modus „Enforcing“ ausgef\u00fchrt, kann man sich nach einem Neustart nicht am System anmelden. Man muss dann erneut booten und obige Schritte ausf\u00fchren, um die Datei erstellen zu k\u00f6nnen.<\/p>\n
Wurden die oben aufgef\u00fchrten Schritte erfolgreich angewendet, kann man sich nun mit dem vergebenen Passwort am System anmelden und hat damit die Kontrolle zur\u00fcckgewonnen.<\/p>\n
Auch wenn ich diese Anleitung mehrere Male erfolgreich getestet habe, w\u00fcnsche ich uns allen, dass wir sie m\u00f6glichst niemals brauchen werden.<\/p>\n","protected":false},"excerpt":{"rendered":"
In diesem Tutorial wird beschrieben, wie das root-Passwort bei RHEL\/CentOS 7 mit Bordmitteln zur\u00fcckgesetzt werden kann. Mit Bordmitteln bedeutet, dass hierbei keine externen Bootmedien verwendet werden. Aufgepasst! Macht man bei der Ausf\u00fchrung der folgenden Prozedur Fehler, k\u00f6nnen diese dazu f\u00fchren, dass man jeglichen Zugang zu einem System verliert. M\u00f6chte man die Vorgehensweise \u00fcben, empfehle ich, [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[3],"tags":[6,447,58,430,30,31,305,445,446,45,46,50],"class_list":["post-1676","post","type-post","status-publish","format-standard","hentry","category-tutorials","tag-anleitung","tag-centos7","tag-linux","tag-osbn","tag-password","tag-passwort","tag-planet","tag-resetz","tag-rhel7","tag-tipps","tag-tutorial","tag-zurucksetzen"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1676"}],"version-history":[{"count":7,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1676\/revisions"}],"predecessor-version":[{"id":2322,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1676\/revisions\/2322"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}