Passwort-Tipps für Linux 1: Account-Sperre

Wie man unter Linux einen gesperrten root-Account wieder frei bekommt

| Autor: Thomas Drilling

Drillings Open-Source-Eck
Drillings Open-Source-Eck (Bild: Thomas Drilling)

Ich habe in meiner vSphere-Laborumgebung eins ältere vCenter-Appliance 5.5 (VCSA), die nur für Schulungszwecke zum Einsatz kommt. Wie auch immer - ich wusste das root-Passwort nicht mehr, sodass VCSA das Konto nach den dritten Fehlversuch sperrte. VCSA basiert zwar auf Suse Linux Enterprise 11, folgende Vorgehensweise funktioniert aber mit allen Linux-Varianten und ist nicht spezifisch für meinen vSphere-Kontext.

Erfahrene Linux-Anwender dürfte folgender Workaround geläufig sein. VSphere-Admins, die nur gelegentlich mit Linux in Berührung kommen, etwa in Form der VCSA mit Ihrem Suse-Fundament, ersparen sich mit folgendem Tipp viel Mühe.

Der Workaround setzt eine Linux Live-CD voraus, wie z. B. Knoppix. Das VCSA-System wird dann mit eingebundenen Knoppix-ISO (quasi extern) von einem virtuellen CDROM-Laufwerk im Single User Mode gebootet. Von dort aus lässt sich die Passwort-Datei des /etc/shadow des Systems bearbeiten, um das die Account-Sperre zu entfernen.

Beim Ein Hinzufügen eines virtuellen CD-Laufwerk im Konfigurationseditor ist darauf zu achten, dass die Option „Connect at power on“ auch gesetzt ist.

Darüber hinaus muss sichergestellt sein, dass das VCSA-System auch von diesem Medium bootet und nicht von seiner eigenen virtuellen Boot-Festplatte. Dazu ist prinzipiell ein Eingriff ins BIOS der virtuellen Maschine nötig. Einfacher ist es indes, man setzt im Konfigurationseditor des vSphere-Clients im Reiter Options bei Boot Options im rechten Teil des Dialoges im Bereich Force BIOS-Setup das Häkchen für „The next time the virtual machine boots, force entry into the bios setup screen“.

Danach sollte das System erfolgreich von der Knoppix-CD booten und man wählt im Knoppix-Hauptmenü den Eintrag 11. Shell. Hier holt man sich mit su Superuser-Rechte und bindet die VCSA-root-Partition in ein Verzeichnis nach Wahl ein, z. B. 

mount /dev/sda3 /mnt/tmp.

Jetzt bearbeitet man die Passwort-Datei /etc/shadow des VCSA-
Systems mit einem Editor:

vi /mnt/tmp/etc/shadow


Hier ist die Zeile für das root-Konto entscheidend. Dort entfernen man das „x“ im zweiten Feld (für die Account-Sperre), sowie sofern vorhanden den numerischen Wert im fünften Feld. Existiert er, handelt es sich um das Ablaufdatum in Tagen, z. B. 90.

Nach einem Neustart von VCSA mit reboot ist der Account wieder frei. Wie man nun ein neues Passwort setzt, steht hier.