User Management

Where is root?

• If for some reason you wish to enable the root account, simply give it a password:

  sudo passwd
  

  Sudo will prompt you for your password, and then ask you to supply a new password for root as shown below:

  [sudo] password for username: (enter your own password)
  Enter new UNIX password: (enter a new password for root)
  Retype new UNIX password: (repeat new password for root)
  passwd: password updated successfully
  

• sudo passwd -l root
  

• man sudo
  

Adding and Deleting Users

• sudo adduser username
  

• sudo deluser username
  

  Deleting an account does not remove their respective home folder. It is up to you whether or not you wish to delete the folder manually or keep it according to your desired retention policies.

  You may want to change these UID/GID values to something more appropriate, such as the root account, and perhaps even relocate the folder to avoid future conflicts:

  sudo chown -R root:root /home/username/
  sudo mkdir /home/archived_users/
  sudo mv /home/username /home/archived_users/
  

• sudo passwd -l username
  sudo passwd -u username
  

• sudo addgroup groupname
  sudo delgroup groupname
  

• sudo adduser username groupname
  

User Profile Security

• ls -ld /home/username
  

  drwxr-xr-x  2 username username    4096 2007-10-02 20:03 username
  

• sudo chmod 0750 /home/username
  

  Some people tend to use the recursive option (-R) indiscriminately which modifies all child folders and files, but this is not necessary, and may yield other undesirable results. The parent directory alone is sufficient for preventing unauthorized access to anything below the parent.

  DIR_MODE=0750
  

• ls -ld /home/username
  

  The results below show that world-readable permissions have been removed:

  drwxr-x---   2 username username    4096 2007-10-02 20:03 username
  

Password Policy

A strong password policy is one of the most important aspects of your security posture. Many successful security breaches involve simple brute force and dictionary attacks against weak passwords. If you intend to offer any form of remote access involving your local password system, make sure you adequately address minimum password complexity requirements, maximum password lifetimes, and frequent audits of your authentication systems.

Minimum Password Length

By default, Ubuntu requires a minimum password length of 6 characters, as well as some basic entropy checks. These values are controlled in the file /etc/pam.d/common-password, which is outlined below.

password        [success=1 default=ignore]      pam_unix.so obscure sha512

If you would like to adjust the minimum length to 8 characters, change the appropriate variable to min=8. The modification is outlined below.

password        [success=1 default=ignore]      pam_unix.so obscure sha512 minlen=8

Password Expiration

• sudo chage -l username
  

  Last password change                                    : Jan 20, 2015
  Password expires                                        : never
  Password inactive                                       : never
  Account expires                                         : never
  Minimum number of days between password change          : 0
  Maximum number of days between password change          : 99999
  Number of days of warning before password expires       : 7
  

• sudo chage username
  

  sudo chage -E 01/31/2015 -m 5 -M 90 -I 30 -W 14 username
  

• To verify changes, use the same syntax as mentioned previously:

  sudo chage -l username
  

  The output below shows the new policies that have been established for the account:

  Last password change                                    : Jan 20, 2015
  Password expires                                        : Apr 19, 2015
  Password inactive                                       : May 19, 2015
  Account expires                                         : Jan 31, 2015
  Minimum number of days between password change          : 5
  Maximum number of days between password change          : 90
  Number of days of warning before password expires       : 14
  

Other Security Considerations

SSH Access by Disabled Users

who | grep username  (to get the pts/# terminal)
sudo pkill -f pts/#

AllowGroups sshlogin

sudo adduser username sshlogin
sudo systemctl restart sshd.service

External User Database Authentication

• Доступ такого уровня к ресурсам компьютера необходим далеко не всегда.
• Доступ на уровне суперпользователя— это, скорее, большая ответственность, нежели благодать. При обычном доступе вы работаете только с ресурсами своей учетной записи. Если же вы находитесь в системе в качестве суперпользователя, вы можете случайно сделать ошибку и удалить все — да-да, все файлы всей системы Linux!

Думаете, с вами такого не случится? Даже опытные администраторы Linux рассказывают жуткие истории о том дне, когда они сделали роковую опечатку или не задумывались над тем, что они делают, работая под именем суперпользователя.

По умолчанию учетная запись суперпользователя отключена в Ubuntu. Это означает, что вы не сможете зайти в систему как root. Однако, инсталлятор настраивает sudo для пользователя, созданного во время установки. Команда sudo позволяет выполнять все приложения, требующие привилегий суперпользователя.

Когда sudo спрашивает пароль, вы должны ввести пароль ВАШЕГО пользователя ! То есть пароль root’a вам не нужен !

Заметки

• Пароль сохраняется по умолчанию на 15 минут. По истечении этого времени, вам нужно будет ввести пароль снова.
• Несмотря на то, что при вводе пароль не отображается на экране (даже в виде звездочек), он все-равно вводится!

• Для выполнения графических конфигурационных утилит с sudo, просто запустите приложение через меню.

• Для запуска программ через sudo, которые обычно запускаются под обычным пользователем (например gedit), нажмите Alt+F2 и введите gksudo gedit. В Kubuntu используйте вместо gksudo программу kdesu.

• Использование sudo в командной строке:

Пример #1 — смена пользователя и группы для файлов в домашней папке пользователя

sudo chown bob:bob /home/bob/*

Пример #2 — перезапуск сетевых служб

sudo /etc/init.d/networking restart

• Для запуска графических программ используйте gksudo или kdesu, иначе попытка входа может провалиться. Если это происходит и при входе вылазит ошибка: «Unable to read ICE authority file», войдите в безопасный терминал и выполните следующую команду, подставив своё имя пользователя:

rm /home/user/.{ICE,X}authority

• Для запуска режима суперпользователя в терминале (root shell, т.е. командная строка, где вы можете выполнять команды под пользователем root), запустите терминал и выполните команду:

sudo -i     (эквивалент команды "sudo su -")

• Для запуска режима суперпользователя, оставив текущие переменные окружения, введите:

sudo -s     (эквивалент команды "sudo su")

• Вход под другим пользователем (для графического входа, используйте что-то типа gdmflexiserver):

sudo -i -u username

Преимущества использования sudo

Причины, по которым пользователь root отключен по умолчанию, заключаются в следующем:

• Программа установки задаёт меньше вопросов.
• Пользователям не нужно запоминать дополнительный пароль, который они могут забыть.
• Перед тем как произойдёт выполнение команды, вас попросят ввести пароль. Это даст время подумать о возможных последствиях.

• sudo добавляет в лог выполненные команды (/var/log/auth.log).

• Все попытки взломщиков, пытающихся подобрать пароль к root, будут обречены на провал.

• sudo позволяет легко предоставлять права администратора на долгий или короткий период другим пользователям, просто добавляя и удаляя их из группы, при этом не трогая корневую учетную запись.
• sudo можно настроить с более fine-grained политикой безопасности.
• Аутентификация автоматически истекает по окончании определенного промежутка времени.

Минусы использования sudo

Хотя выгода для использования sudo на персональных компьютерах велика, есть некоторые моменты, которые надо отметить:

• Во многих офисных системах только один локальный пользователь в системе root. Все остальные пользователи импортируются через NSS технологии, такие как nss-ldap. Для настройки рабочей станции в случае повреждения сети, при поломке nss-ldap, необходим root. This tends to leave the system unusable unless cracked. An extra local user, or an enabled root password is needed here.

Заблуждения

• Разве sudo не менее безопасно, чет su?

• Я могу получить права администратора из консоли без ввода пароля!

  • Вам потребуется ввести пароль для этого.

Возврат к традиционной учетной записи root

Consider using the below command instead:

sudo -i

Использование этой команды временно откроет консоль с правами root. Активация аккаунта root в Ubuntu не поддерживается из-за ненадобности. Всё, что вам требуется сделать с правами администратора в Ubuntu можно сделать через sudo или gksudo.

Если root включен, и вы хотите отключить его, откройте терминал и введите следующую команду:

sudo passwd -l root

Drag & Drop Sudo

Этот трюк взят из форумов.

Создайте кнопку запуска со следующей командой:

gksudo "gnome-open %u"

Теперь при перетаскивании любого файла на эту кнопку, будет запущено ассоциированное с этим файлом приложение с привилегиями суперпользователя. Это особенно удобно при редактировании конфигурационных файлов.

ROOT-пользователь — это пользователь с правами администратора, созданный по умолчанию в Linux-системе (Ubuntu). Root аналог администратору в ОС Windows, который имеет доступ ко всему в системе.

Этот способ предполагает вход в систему Ubuntu под пользователем с sudo правами, а команда «su» разрешена как часть «sudo» привилегий.

sudo su

Глядя на скриншот выше, можно заметить смену пользователя на «root», таким образом, мы вошли в Ubuntu под root, используя свой пароль.

Теперь мы можем сменить пароль root-пользователя, для этого необходимо использовать следующую команду:

passwd

После ввода команды указываем новый пароль в запросе «New password» и повторяем новый пароль после запроса «Retype new password».

Пароль для root будет установлен при первом использовании команды или изменит его на новый пароль при дальнейших использованиях команды «passwd».

А работает ли новый пароль? Давайте это выясним, нажимаем сочетание клавиш «Ctrl+D», чтобы окончить текущий ввод данных в терминале, либо запускаем новый терминал и вводим новую команду:

su

Данной командой мы войдем в систему как root, после чего вводим новый пароль, который мы только что установили для root.

Таким образом мы успешно изменили пароль от root.

---

Сбрасываем пароль от root через GRUB

Существует еще один способ для изменения пароля от root или любого другого пользователя при загрузке Ubuntu.

Сначала перезагружаем наш ПК. Если меню GRUB не появляется автоматически, то удерживаем клавишу «Shift» во время загрузки. Это принудительно откроет меню GRUB.

Затем выбираем пункт «Ubuntu» в меню и нажмите клавишу «E», чтобы начать редактирование конфигурации загрузки.

Далее необходимо внести изменения в строку, заменяем значение:

quiet splash $vt_handoff

rw init=/bin/bash

Результат отображен на скриншоте ниже:

Изменения заключаются в том, чтобы из GUI перейти в оболочку Bash для внесения изменений — смена пароля. Нажимаем клавишу «F10», чтобы загрузиться с новой конфигурацией.

Загрузка с измененной конфигурацией сработает только один раз и сброситься при повторной загрузке.

Мы вошли в систему как root-пользователь в командной строке. Теперь используем команду для сброса пароля:

passwd

Указываем и повторяем новый пароль.

Затем перезагружаем систему в обычном режиме (без GRUB) и входим как root уже с новым паролем.

Lost Password?

Sometimes it is necessary to get root access, for example when you have forgotten your password or changed something in /etc/sudoers and things do not work as expected.

Be careful, because this step will give you full root access to your system and you can really damage your system! Keep in mind that all the steps you see here can also be done by someone else!

Now let us start with a way that should work on any freshly installed Ubuntu system:

The Standard Way

This procedure gives you a full root shell! You can damage your system if you are not careful!

1. When booting up press SHIFT (in systems 9.10 «karmic» or later) or ESC (in systems 9.04 «jaunty» or earlier) at the grub prompt and use the arrow keys to select the rescue mode option and press enter.

2. The file system may be read only (it is in all currently supported releases). Remount as read write

   • mount -rw -o remount /

3. This will boot the system in rescue mode and you should arrive at a prompt that looks like this

   • root@something

4. To reset your password type this in

   • passwd <username>

     Press return, then you will be prompted to enter and confirm a new password.

5. Once you are done resetting your password you can than switch back to the normal GUI mode by putting this in

   • init 2

If if appears to boot normally, but you see a message that says:

• Give root password for maintenance (or type Control-D to continue):

then you will have to try a different trick below.

The Other Way

1. Reboot your computer

2. Press SHIFT or ESC at the grub prompt (as earlier).

3. Select your image.

4. Highlight the line that begins kernel and press ‘e’ to edit

5. Go to the very end of the line, change the ro to rw and add init=/bin/bash

press enter, then press b to boot your system.

Your system will boot up to a passwordless root shell.

7. Set your password.

8. Type in reboot

The Other Way Lucid

At least for ‘Lucid’ I found out that the steps 1-5 in the procedure mentioned above are slightly different:

1. Reboot your computer

2. Hold shift during boot to start GRUB menu

3. Highlight your image and press ‘e’ to edit

4. Find the line starting with linux and append init=/bin/bash at the end of that line

5. Press ctrl-x to boot.

---

Как вы знаете, разработчики Ubuntu имеют свой взгляд на безопасность работы с дистрибутивом. Довольно много дистрибутивов, в том числе Debian, на котором основана Ubuntu, предлагают использовать аккаунт суперпользователя для выполнения различных задач по администрированию системы. Но сейчас такой подход считается небезопасным, поскольку вы можете забыть что работаете от имени суперпользователя и удалить какие-либо важные вещи.

Суперпользователь в Ubuntu

Но есть и более простой и правильный вариант, вы можете использовать опцию -i утилиты sudo чтобы перейти в терминал суперпользователя:

Больше никаких параметров не нужно. Вторая команда предпочтительнее, потому что она позволяет сохранить текущие переменные окружения, что в некоторых случаях будет очень полезно.

Пароль root Ubuntu

Несмотря на приведенные выше способы решения проблемы, вы все еще не можете авторизоваться от имени суперпользователя в TTY или использовать утилиту su без sudo. Если это для вас важно дальше мы рассмотрим как установить пароль root Ubuntu и вернуть полноценного root пользователя. Только это все нужно делать когда у вас есть обычный пользователь и доступ к нему. Сначала смотрим /etc/shadow и убеждаемся, что пароля действительно нет:

Для установки пароля для root наберите:

sudo passwd root

Теперь нужно ввести два раза пароль и готово. Проверяем снова:

Дальше вы можете использовать команду su для авторизации, авторизоваться от root по ssh и многое другое. Например:

Введите только что полученный пароль и вы попадете в консоль суперпользователя. Только будьте осторожны, поскольку здесь можно случайно что-либо удалить. Используйте аккаунт суперпользователя только для административных задач, не пользуйтесь им постоянно и не запускайте графическое окружение от имени root.

Выводы

Пароль root по умолчанию ubuntu не задан, но вы можете это очень просто исправить чтобы использовать вашу систему так, как вам удобно. Чтобы задать пароль root ubuntu достаточно выполнить только одну команду, но нужно никогда не забывать про осторожность. Если у вас остались вопросы, спрашивайте в комментариях.

Иногда работать в Kali Linux не получается: у root пользователя по умолчанию используется парольный вход. И если не знать, что вводить, добраться до рабочего стола не получится. Давайте разберемся, как в таком случае поменять пароль root пользователя.

Какой в Kali Linux пароль по умолчанию

Сначала следует определиться, идет ли речь о Live-версии Kali Linux или же используется установленная на жесткий диск система.

Если используется «живой» носитель, то операционная система загружается без установки каких-либо частей на диск. В актуальной версии для входа нужно использовать слово «toor», то есть root, написанный задом наперед, без кавычек.

Другой вопрос, если пароль был забыт уже после установки Kali Linux. Можно попробовать вспомнить, какой пароль был введен при установке. Но не всегда это получается. Подбор пароля наугад – не лучший выход.

Что делать, чтобы сбросить пароль и установить свой

Если пользователь забыл пароль, нужно перезагрузить компьютер. Откроется меню GRUB. В нем есть две строки: обычная загрузка и запуск с настройкой параметров.

Нужно найти строку, в которой есть фрагмент ro (на скриншоте выше курсор указывает как раз на него). Букву «o» следует заменить на «w» — это позволит системе запуститься в режиме записи, чтобы можно было поменять пароль пользователя root.

В конце этой же строки надо через пробел дописать запуск командной строки: « init=/bin/bash».

Далее нажать F10 и подождать, пока Kali Linux загрузится.

В командной строке нужно запустить утилиту passwd. Через пробел нужно указать root.

Утилита предложит ввести новый пароль.

Внимание! Символы не будут показываться, поэтому набирать их нужно аккуратно и без ошибок.

После повторного ввода будет установлен обновленный пароль.

предшествующего загрузке, жмем клавишу — это переводит загрузчик в режим редактирования и на экране появится меню с режимами загрузки.
Если у Вас выставлена загрузка сразу в графику, то необходимо загрузиться с загрузочной дискеты (если она создана) или прямо с установочного диска.

2. Клавишами управления курсора перемещаемся на строчку (или подобную в Вашем дистре)

kernel /vmlinuz-x.x.xx-x.x ro root=/dev/hda2

и нажимаем клавишу

3. Перемещаемся в конец этой строки, ставим пробел, набираем слово

4. Жмем клавишу для загрузки в однопользовательском режиме.

5. В командной строке набираем

6. По приглашению вводим новый пароль и затем опять вводим новый пароль для подтверждения.

7. Перезагружаем систему

Пользователь root (или суперпользователь) — это специальная учетная запись пользователя, которая присутствует во всех Linux и Unix-подобных системах. Он имеет полный доступ ко всем командам и любому ресурсу в системе без каких-либо ограничений.

Если вы переходите на Ubuntu из другого дистрибутива Linux, вы можете задаться вопросом, какой пароль root используется по умолчанию или как изменить пароль root. По умолчанию в Ubuntu учетная запись пользователя root отключена по соображениям безопасности.

В этом руководстве объясняется, как временно изменить учетную запись пользователя root и как установить пароль root в системах Ubuntu.

Временное переключение на root

Пользователям Ubuntu рекомендуется выполнять системные административные задачи, предоставляя привилегии sudo обычным пользователям. Sudo позволяет авторизованным пользователям запускать программы от имени другого пользователя, обычно пользователя root.

Первоначальный пользователь, созданный установщиком Ubuntu, уже является членом группы sudo. Скорее всего, пользователь, под которым вы вошли в систему, уже имеет административные привилегии.

Чтобы временно повысить привилегии пользователя root, выполните команду с префиксом sudo :

sudo command-name

При первом использовании sudo в сеансе вам будет предложено ввести пароль пользователя.

Чтобы временно переключиться на учетную запись root в текущем сеансе входа в систему, вы можете использовать команду sudo su или sudo -i и ввести пароль пользователя:

sudo su -

Запустите команду whoami чтобы убедиться, что пользователь изменен:

whoami

root

Смена пароля root

Если по какой-то причине вам нужно включить учетную запись root , все, что вам нужно сделать, это установить пароль для пользователя root. В Ubuntu вы можете установить или изменить пароль учетной записи пользователя с помощью команды passwd .

Чтобы изменить пароль пользователя root в Ubuntu, выполните следующую команду от имени пользователя sudo :

sudo passwd root

Вам будет предложено ввести и подтвердить новый пароль root.

При установке пароля убедитесь, что вы используете уникальный и надежный пароль. Наличие надежного пароля — самый важный аспект безопасности вашей учетной записи. Часто надежный пароль содержит не менее 16 символов, хотя бы одну заглавную букву, одну строчную букву, одну цифру и один специальный символ.

Когда вы вводите пароль, он не отображается на экране.

Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

Это оно! Пароль root был изменен.

Выводы

По умолчанию в Ubuntu для учетной записи root не установлен пароль. Рекомендуемый подход — использовать команду sudo для запуска команд с привилегиями корневого уровня.

В этом руководстве объясняется, как включить и отключить учетную запись пользователя root в Ubuntu Linux.

Пользователи Sudo

Пользователям Ubuntu рекомендуется выполнять системные административные задачи, предоставляя административные привилегии обычному пользователю с помощью инструмента с именем sudo. Sudo позволяет авторизованным пользователям запускать программы от имени другого пользователя, обычно пользователя root.

По умолчанию в системах Ubuntu членам группы sudo предоставляется доступ sudo. Первоначальный пользователь, созданный установщиком Ubuntu, уже является членом группы sudo. Скорее всего, пользователь, под которым вы вошли в систему, уже имеет права администратора.

Если вы хотите предоставить доступ к sudo другому пользователю, просто добавьте пользователя в группу sudo:

usermod -aG sudo username

Чтобы временно повысить привилегии пользователя root, выполните команду с префиксом sudo:

sudo some-command

При первом использовании sudo в сеансе вам будет предложено ввести пароль пользователя.

Если вы хотите запустить команду с привилегиями sudo без ввода пароля, вам необходимо отредактировать файл sudoers . Для этого введите visudo :

sudo visudo

username ALL=(ALL) NOPASSWD: ALL

Включить учетную запись корневого пользователя в Ubuntu

Если по какой-то причине вам нужно включить учетную запись root, вам просто нужно установить пароль для пользователя root . В Ubuntu и других дистрибутивах Linux вы можете установить или изменить пароль учетной записи пользователя с помощью команды passwd .

Как обычный пользователь Ubuntu, вы можете изменить только свой собственный пароль. Пользователь, под которым вы вошли в систему, должен иметь права sudo, чтобы иметь возможность установить пароль root.

Чтобы включить учетную запись root в Ubuntu, выполните следующую команду:

sudo passwd root

Вам будет предложено ввести и подтвердить новый пароль root:

Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

Когда вы вводите пароль, он не отображается на экране.

Отключить учетную запись корневого пользователя в Ubuntu

Если вы ранее включили пользователя root в Ubuntu, а теперь хотите отключить его, установите для пароля root срок действия.

Чтобы отключить пароль учетной записи root, используйте следующую команду:

sudo passwd -l root

Выводы

Чтобы включить учетную запись пользователя root в Ubuntu, все, что вам нужно сделать, это установить пароль root.

При установке пароля убедитесь, что вы используете надежный и уникальный пароль. Наличие надежного пароля — самый важный аспект безопасности вашей учетной записи. Часто надежный пароль содержит не менее 16 символов, хотя бы одну заглавную букву, одну строчную букву, одну цифру и один специальный символ.

It’s a good idea to change your passwords regularly and consider using enterprise password management software.

This guide will help you change your Linux root password in Ubuntu or CentOS, or reset the password.

• A computer running Linux
• Command-line interface (terminal)

Changing Your Root Password in Ubuntu

Step 1: Open a Terminal Window

Right-click the desktop, then left-click Open in terminal.

Alternately, you can click Menu > Applications > Accessories > Terminal.

Step 2: Change Your Root Password

sudo passwd root

The system will prompt you to enter your password – this is the same password you use to log in to the system.

Next, the system will prompt you to enter a new password. Do so, and then re-enter it exactly the same when the system prompts you to retype the password. This double-entry confirms that you have typed the password correctly.

Resetting a Root Password in Ubuntu

In some situations, you may need to access an account for which you’ve lost or forgotten a password.

Step 1: Boot to Recovery Mode

Restart your system. Once you see the splash screen for the computer manufacturer, hold down the shift key. The system should come up with a black and white GRUB, or boot menu, with different Linux kernel versions displayed.

Step 2: Drop Out to Root Shell

The system should display a menu with different boot options. Use the arrow keys to navigate to the option labeled root and press Enter.

The system should respond by giving you a command-line interface with a prompt.

Step 3: Remount the File System with Write-Permissions

Right now, your system only has read-only access to your system. That means it can look at the data, but cannot make any changes. But we need write-access to change the password, so we’ll need to remount the drive with the appropriate permissions.

At the prompt, type:

mount –o rw,remount /

Press Enter. This should allow you to make changes to the data on the hard drive.

Step 4: Change the Password

At the prompt, type:

passwd username

shutdown –r

Hit Enter, and your system should restart. Don’t press any keys, let the system come up to the login screen, and test to make sure the new password works.

Note: Learn how to use the chpasswd command. Chpasswd is helpful for managing multiple passwords and making multiple changes.

Changing the Root Password in CentOS

Changing a password in CentOS is almost identical to changing it in Ubuntu.

Step 1: Access the Command Line (Terminal)

Right-click the desktop, then left-click Open in Terminal.  Or, click Menu > Applications > Utilities > Terminal.

Step 2: Change the Password

sudo passwd root

This is a similar process as in Ubuntu, with a couple of variations.

Step 1: Access Boot Menu

Restart the system, then tap the Esc key about once per second to launch the GRUB menu.

Step 2: Edit Boot Options

Use the arrows to highlight the version of Linux you boot into, then press e.

Use the arrows to highlight the line that starts with kernel or Linux.

Step 3: Remount the Drive

mount / -o remount,rw

Step 4: Changing the Password

passwd

Press Enter, and the system should prompt you to enter and confirm a new password.

Step 5: Restart

mount / -o remount,ro

sync

reboot

Your system should restart. Confirm that your new password works by logging in.

Note: If you ever come across a Linux boot failure, be sure to save our guide on using GRUB rescue to troubleshoot it.

It can be more challenging if you’ve lost or forgotten a password, but with a little creative restarting and editing, you shouldn’t find it too hard.