Pouvez-vous récupérer un mot de passe root sous Linux ?

1. Utilisation de GRUB (Grand Unified Bootloader) - La méthode la plus courante

Cette méthode consiste à interrompre le processus de démarrage et à démarrer en mode mono-utilisateur où vous pouvez réinitialiser le mot de passe.

Étapes :

1. Redémarrez le système : Redémarrez votre machine Linux.

2. Interrompre le processus de démarrage : Lorsque le système démarre, surveillez le menu GRUB. Vous verrez généralement une liste de systèmes d'exploitation. Vous devrez peut-être appuyer sur une touche (comme « Échap », « Maj », « e » ou « Entrée ») à plusieurs reprises ou la maintenir enfoncée pour afficher le menu. La clé varie en fonction de votre système et de la configuration de GRUB. Si vous ne voyez pas le menu GRUB, il est peut-être masqué. Maintenir « Shift » pendant le démarrage le révèle souvent.

3. Modifiez l'entrée GRUB : Une fois le menu GRUB affiché, utilisez les touches fléchées pour mettre en surbrillance l'entrée que vous souhaitez démarrer (généralement l'option Linux par défaut). Appuyez sur « e » pour modifier l'entrée sélectionnée. Cela ouvrira un éditeur de texte dans l'environnement GRUB.

4. Trouver la ligne du noyau : Recherchez une ligne qui commence par « linux » ou « linux16 ». Cette ligne contient les paramètres transmis au noyau lors du démarrage.

5. Ajoutez `init=/bin/bash` ou `rd.break enforcing=0` (ou `systemd.unit=emergency.target`) à la ligne du noyau :

* `init=/bin/bash` : Il s’agit de la méthode la plus ancienne et la plus courante. Il indique au noyau de démarrer `/bin/bash` comme processus initial au lieu du système d'initialisation normal (comme systemd ou SysVinit). Cela vous donne effectivement un shell racine. Une fois que vous avez fini de modifier le mot de passe, vous devrez remonter le système de fichiers racine en lecture-écriture avant de pouvoir modifier le mot de passe.

* `rd.break enforcing=0` (CentOS/RHEL/Fedora avec SELinux) : Il s'agit généralement de la méthode *préférée* pour les systèmes basés sur Red Hat (CentOS, RHEL, Fedora) sur lesquels SELinux est activé. `rd.break` indique à initramfs d'arrêter le processus de démarrage avant de passer au véritable système de fichiers racine, vous donnant ainsi la possibilité d'apporter des modifications. `enforcing=0` met SELinux en mode permissif, empêchant SELinux d'interférer avec la réinitialisation de votre mot de passe.

* `systemd.unit=emergency.target` (Systèmes Systemd) : Cela entraînera le démarrage du système en mode d'urgence

Exemple (en utilisant `init=/bin/bash`) :

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro quiet splash $vt_handoff

```

Modifiez-le pour :

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro quiet splash $vt_handoff init=/bin/bash

```

Exemple (en utilisant `rd.break enforcing=0`) :

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro quiet splash $vt_handoff

```

Modifiez-le pour :

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro quiet splash $vt_handoff rd.break enforcing=0

```

Placez l'option à la *fin* de la ligne après toute autre option existante, séparée par un espace.

6. Démarrez l'entrée modifiée : Appuyez sur « Ctrl+x » ou « F10 » pour démarrer avec l'entrée GRUB modifiée.

7. Remontez le système de fichiers racine (si vous utilisez `init=/bin/bash`) :

* Avec `init=/bin/bash`, le système de fichiers racine est monté en lecture seule. Vous devez le remonter en lecture-écriture avant de pouvoir modifier le mot de passe. Exécutez la commande suivante :

```bash

monter -o remonter,rw /

```

8. Modifiez le mot de passe root : Utilisez la commande `passwd` :

```bash

mot de passe

```

Entrez le nouveau mot de passe lorsque vous y êtes invité. Il vous sera demandé de le saisir à nouveau pour confirmation.

9. Si vous utilisez `rd.break enforcing=0` (CentOS/RHEL/Fedora avec SELinux) :

* Le système de fichiers n'est peut-être pas dans le répertoire racine. Vous devrez d'abord chrooter à la racine.

```bash

chroot/sysroot

```

* Maintenant, changez le mot de passe root :

```bash

mot de passe

```

10. Réactivez SELinux (si vous utilisez `rd.break enforcing=0`) :

* Après avoir modifié le mot de passe, vous devez réétiqueter le système de fichiers.

```bash

touchez /.autorelabel

sortie

sortie

```

Le système redémarrera et effectuera le processus de réétiquetage. Cela peut prendre un certain temps. N'interrompez pas le processus.

11. Redémarrer : Tapez `exec /sbin/init` (ou `reboot -f` si la première commande ne fonctionne pas, mais cela est moins propre et peut potentiellement conduire à des incohérences du système de fichiers). Si vous utilisez `init=/bin/bash`, taper `exit` peut fonctionner dans certains cas, mais `exec /sbin/init` est généralement plus fiable.

Considérations importantes concernant la méthode GRUB :

* Protection par mot de passe GRUB : Si votre chargeur de démarrage GRUB est protégé par mot de passe, cette méthode ne fonctionnera pas directement. Vous devrez d'abord connaître le mot de passe GRUB.

* Cryptage (LUKS) : Si votre système de fichiers racine est crypté (par exemple, à l'aide de LUKS), vous devrez déverrouiller la partition cryptée *avant* de pouvoir y accéder et modifier le mot de passe. Cela implique généralement de saisir la phrase secrète de décryptage au démarrage. Les étapes ci-dessus s'appliquent ensuite après le déverrouillage du volume crypté.

* SELinux (CentOS/RHEL/Fedora) : Sur les systèmes avec SELinux activé, il est *crucial* de réétiqueter le système de fichiers après avoir changé le mot de passe, comme indiqué dans les instructions `rd.break`. Si vous ne le faites pas, vous risquez de rencontrer de graves problèmes, notamment l'impossibilité de vous connecter même avec le mot de passe correct.

2. Utiliser un Live CD/USB

Cette méthode implique de démarrer à partir d'un environnement Linux live (par exemple, Ubuntu Live CD, Fedora Live USB) et de monter votre partition racine pour modifier le mot de passe.

Étapes :

1. Démarrer à partir de Live Media : Démarrez votre ordinateur à partir d’un Linux Live CD ou d’une clé USB.

2. Identifiez votre partition racine : Ouvrez un terminal dans l'environnement réel. Utilisez la commande `lsblk` ou `fdisk -l` pour identifier la partition correcte qui contient le système de fichiers racine de votre installation Linux (`/`). Recherchez la partition à laquelle le point de montage « racine » est attribué.

3. Montez la partition racine : Créez un point de montage (un répertoire) et montez-y la partition racine. Remplacez `/dev/sdaX` par le périphérique et la partition que vous avez identifiés à l'étape précédente.

```bash

sudo mkdir /mnt/maracine

sudo mount /dev/sdaX /mnt/maracine

```

Si vous disposez d'une partition `/boot` distincte, vous devrez peut-être également la monter :

```bash

sudo mount /dev/sdaY /mnt/myroot/boot # Remplacez /dev/sdaY par votre partition de démarrage

```

4. Monter des systèmes de fichiers spéciaux : Montez les systèmes de fichiers `proc`, `sys` et `dev` depuis l'environnement réel dans le répertoire racine monté. Ceci est nécessaire pour que « chroot » fonctionne correctement.

```bash

sudo mount -o bind /proc /mnt/maracine/proc

sudo mount -o bind /sys /mnt/myroot/sys

sudo mount -o bind /dev /mnt/maracine/dev

sudo mount -o bind /dev/pts /mnt/myroot/dev/pts

```

5. Chrootez dans le système de fichiers racine : Utilisez la commande `chroot` pour remplacer le répertoire racine par la partition montée. Cela fait de votre partition montée la « racine » pour les commandes suivantes.

```bash

sudo chroot /mnt/maracine

```

6. Modifiez le mot de passe root : Utilisez la commande `passwd` :

```bash

mot de passe

```

Entrez le nouveau mot de passe lorsque vous y êtes invité.

7. Quitter Chroot et démonter :

```bash

exit # Quitter l'environnement chroot

sudo umount /mnt/myroot/dev/pts

sudo umount /mnt/myroot/dev

sudo umount /mnt/myroot/sys

sudo umount /mnt/maracine/proc

sudo umount /mnt/myroot/boot # Si vous avez monté /boot

sudo umount /mnt/maracine

```

8. Redémarrer : Redémarrez votre ordinateur et démarrez à partir de votre disque dur habituel.

Considérations importantes concernant la méthode Live CD/USB :

* Cryptage (LUKS) : Si votre système de fichiers racine est crypté, vous devrez le déverrouiller de l'environnement réel *avant* de pouvoir le monter. Utilisez `cryptsetup luksOpen /dev/sdaX myroot` (remplacez `/dev/sdaX` par la partition chiffrée) et entrez la phrase secrète. Montez ensuite `/dev/mapper/myroot` au lieu de `/dev/sdaX`.

* LVM (gestion des volumes logiques) : Si votre système de fichiers racine se trouve sur un volume logique LVM, vous devrez peut-être d'abord activer le groupe de volumes :`sudo vgchange -ay`. Ensuite, identifiez le volume logique et montez-le.

* Démarrage sécurisé : Si Secure Boot est activé dans vos paramètres UEFI, vous devrez peut-être le désactiver ou le configurer pour autoriser le démarrage à partir d'un support externe.

3. Utilisation du paramètre de noyau « unique » (moins courant, peut ne pas fonctionner sur tous les systèmes)

Cette méthode est similaire à la méthode GRUB mais utilise un paramètre de noyau différent. Elle n'est peut-être pas aussi fiable que la méthode `init=/bin/bash` sur les systèmes modernes.

Étapes :

1. Redémarrer et interrompre le processus de démarrage : Identique à la méthode GRUB (étapes 1 et 2).

2. Modifiez l'entrée GRUB : Identique à la méthode GRUB (étapes 3 et 4).

3. Ajoutez « single » ou « 1 » à la ligne du noyau : Ajoutez « single » ou « 1 » à la fin de la ligne « linux » ou « linux16 ».

4. Démarrez l'entrée modifiée : Appuyez sur « Ctrl+x » ou « F10 » pour démarrer.

5. Modifiez le mot de passe root : Le système devrait démarrer en mode mono-utilisateur, vous donnant un shell root. Utilisez la commande `passwd` :

```bash

mot de passe

```

6. Redémarrer : Tapez « redémarrer ».

Pourquoi ces méthodes fonctionnent (explication) :

* GRUB et mode mono-utilisateur : GRUB est le chargeur de démarrage qui charge le noyau Linux. En interrompant le processus de démarrage et en modifiant les paramètres du noyau, nous pouvons demander au noyau de démarrer dans un mode spécial (mode mono-utilisateur) où nous avons un accès direct au compte root *sans* exiger un mot de passe. En effet, le mode mono-utilisateur est conçu pour la maintenance et la récupération du système. Le paramètre `init=/bin/bash` remplace le processus d'initialisation standard, vous donnant directement un shell racine.

* Live CD/USB et Chroot : Un live CD/USB fournit un environnement Linux distinct et fonctionnel. En montant la partition racine de votre système installé et en utilisant « chroot », vous « basculez » essentiellement le système de fichiers racine vers le répertoire racine de votre système installé. Cela vous permet d'exécuter des commandes (comme « passwd ») comme si vous étiez connecté à votre système installé, même si vous les exécutez réellement depuis l'environnement réel.

Considérations de sécurité :

* Accès physique : Ces méthodes nécessitent un accès physique à la machine. Si quelqu'un dispose d'un accès physique, il peut potentiellement compromettre le système, quel que soit le mot de passe.

* Mot de passe GRUB : Pensez à définir un mot de passe pour GRUB afin d'empêcher toute modification non autorisée des options de démarrage.

* Cryptage : Le chiffrement de votre système de fichiers racine (par exemple avec LUKS) ajoute une couche de sécurité renforcée, car un attaquant aurait besoin de la phrase secrète de déchiffrement pour accéder aux données, même avec un accès physique.

* Démarrage sécurisé : Secure Boot aide à empêcher l’exécution de chargeurs de démarrage non autorisés, fournissant ainsi une autre couche de sécurité.

Choisir la bonne méthode :

* GRUB : La méthode GRUB est généralement la plus simple et la plus rapide si vous avez un accès direct au système et pouvez interrompre le processus de démarrage. Cependant, il est vulnérable si GRUB est protégé par mot de passe ou si le système de fichiers est crypté sans connaître la phrase secrète. C'est aussi la méthode la plus susceptible d'être affectée par SELinux.

* Live CD/USB : La méthode Live CD/USB est plus polyvalente et peut être utilisée même si GRUB est protégé par mot de passe. Cela nécessite un peu plus de configuration mais offre un environnement plus contrôlé. C'est particulièrement utile si vous devez d'abord déverrouiller un système de fichiers crypté.

Remarques importantes :

* Sauvegarde : Avant d'essayer l'une de ces méthodes, il est *fortement recommandé* d'avoir une sauvegarde récente de vos données importantes. Bien que ces procédures soient généralement sûres, il existe toujours un risque de perte de données en cas de problème.

* Soins et précision : Vérifiez toutes les commandes et les noms de partition avant de les exécuter. Les erreurs typographiques peuvent entraîner de graves problèmes.

* SELinux : Soyez particulièrement prudent avec les systèmes compatibles SELinux (CentOS, RHEL, Fedora). Suivez précisément les étapes de réétiquetage.

* Mode de récupération : Certaines distributions Linux proposent une option « Mode de récupération » dans le menu GRUB. Ce mode démarre souvent dans un shell root, simplifiant le processus de réinitialisation du mot de passe. Cependant, cela peut toujours nécessiter un remontage du système de fichiers en lecture-écriture.

* Instances cloud : Sur les machines virtuelles cloud (par exemple, AWS EC2, les machines virtuelles Azure, Google Cloud Compute Engine), les procédures de récupération de mot de passe peuvent varier. Les fournisseurs de cloud proposent généralement des mécanismes pour réinitialiser le mot de passe root via leurs consoles Web ou API. Consultez la documentation de votre fournisseur de cloud spécifique.

En comprenant ces méthodes et leurs considérations, vous pouvez récupérer en toute confiance un mot de passe root perdu sur votre système Linux. N'oubliez pas de donner la priorité à la sécurité et de toujours sauvegarder vos données.