Как восстановить root в Astra Linux 1.7: исправление ошибки доступа к консоли

Как разблокировать root в Astra Linux 1.7 при ошибке доступа к консоли. Пошаговая инструкция по настройке пароля, PAM и securetty.

2026.04.29                  

Как разблокировать root в Astra Linux 1.7: исправление ошибки доступа к консолиКак разблокировать root в Astra Linux 1.7: исправление ошибки доступа к консоли

Почему возникает ошибка?

В Astra Linux (как и в большинстве современных дистрибутивов на базе Debian) учётная запись root заблокирована по умолчанию. Это стандартная мера безопасности: вместо прямого входа от имени суперпользователя рекомендуется использовать sudo из-под обычного пользователя с правами администратора.

Ошибка появляется при:

  • Переключении на текстовую консоль (Ctrl+Alt+F1..F6)
  • Попытке входа через su - root или login без sudo
  • Загрузке в режиме восстановления или однопользовательском режиме
  • Работе автоматизированных скриптов/систем управления, ожидающих доступ к консоли root

Пошаговое решение

Шаг 1. Проверьте текущий статус учётной записи root

sudo passwd -S root

Возможные выводы:

  • root L ... — аккаунт заблокирован (Locked)
  • root P ... — пароль установлен, вход разрешён
  • root NP ... — пароль не задан, вход заблокирован

Шаг 2. Разблокируйте root и задайте пароль

sudo passwd root

Система запросит новый пароль дважды. После этого статус изменится на P (Password set), и блокировка будет снята.

Примечание:

  • Если вы используете Astra Linux Special Edition ("Смоленск"), изменение пароля root может потребовать дополнительных прав или нарушить политики безопасности. Убедитесь, что это соответствует регламенту вашей организации.

Шаг 3. Разрешите вход root на виртуальные консоли (TTY)

В современных системах используется pam_securetty.so, который проверяет наличие разрешённых терминалов в /etc/securetty. Если файл отсутствует или пуст, root не сможет войти через getty.

1. Создайте/отредактируйте файл:
sudo nano /etc/securetty
2. Добавьте разрешённые консоли (по одной на строку):
tty1
tty2
tty3
tty4
tty5
tty6
tty7
  1. Сохраните (Ctrl+O, Enter) и выйдите (Ctrl+X).

В Astra Linux 1.7 на базе systemd этот файл может игнорироваться, если в PAM не подключён pam_securetty.so. Если после шага 3 доступ всё ещё закрыт, перейдите к шагу 4.

Шаг 4. Проверка PAM-конфигурации (если нужно)

Откройте конфигурацию login:
sudo nano /etc/pam.d/login

Найдите строку:

auth required pam_securetty.so
  • Если /etc/securetty существует и заполнен — оставьте строку.
- Если вы не используете securetty — закомментируйте строку, добавив # в начало:
  #auth required pam_securetty.so

Сохраните файл. Перезапуск systemd-logind не требуется: изменения применяются при следующей попытке входа.

Шаг 5. Альтернатива: используйте sudo вместо прямого входа

Прямой вход под root не рекомендуется в Astra Linux из-за строгих политик аудита и безопасности.

Вместо этого:
sudo -i          # Получить root-оболочку с сохранением окружения
sudo su -        # Аналогично
sudo -s          # Оболочка без изменения HOME
Для разовых команд:
sudo <команда>

Шаг 6. Восстановление, если доступ к системе полностью утерян

Если вы не можете войти ни под одним пользователем:
  1. Перезагрузите систему.
  2. В меню GRUB выберите пункт загрузки Astra Linux, нажмите e.
  3. Найдите строку, начинающуюся с linux /boot/vmlinuz-...
4. В конец строки добавьте одно из:
  • systemd.unit=rescue.target (безопасный режим восстановления)
  • init=/bin/bash (прямой доступ к оболочке, требует ручной монтировки)
  1. Нажмите Ctrl+X для загрузки.
6. В rescue-режиме или bash:
   mount -o remount,rw /
   passwd root          # Установите/сбросьте пароль
   touch /etc/securetty # Если нужно
7. Перезагрузите:
   exec /sbin/init      # если в init=/bin/bash
   reboot               # если в rescue.target

Особенности Astra Linux 1.7

Параметр Примечание
Версия "Смоленск" (SE) Использует мандатное управление доступом (Parsec). Разблокировка root может потребовать согласования с политикой ИБ.
Аудит Все попытки входа root фиксируются в auditd и syslog. Прямой вход может вызывать предупреждения в системах контроля соответствия.
pam_tally2 / pam_faillock Может блокировать аккаунт после неудачных попыток. Проверьте: sudo faillock --user root
fly Desktop Графический вход под root отключён по умолчанию в gdm3/lightdm. Не пытайтесь обойти это без веских причин.

Проверка работоспособности

После выполнения шагов проверьте:
# Статус root
sudo passwd -S root

# Попытка входа в консоль
sudo -i
exit

# Просмотр логов getty
journalctl -u getty@tty1.service --no-pager -n 20

Если ошибка исчезла, но вы видите предупреждения в логах о pam_securetty или audit, настройте PAM/аудит в соответствии с требованиями вашей инфраструктуры.

Рекомендации по безопасности

  1. Не используйте прямой вход root в production. Настройте sudo через visudo с чёткими правилами.
  2. После отладки снова заблокируйте root: sudo passwd -l root
  3. В Astra Linux SE соблюдайте требования ФСТЭК: прямой root-вход может нарушать профиль защиты.
  4. Регулярно проверяйте журналы: sudo grep -i "root" /var/log/auth.log

Если ошибка сохраняется после выполнения всех шагов, приложите вывод для обращения в техническую поддержку:

sudo journalctl -u getty@tty1.service -n 50
cat /etc/pam.d/login | grep -v "^#" | grep -v "^$"
sudo pam_tally2 --user root 2>/dev/null || sudo faillock --user root

Это поможет точно локализовать причину (PAM, systemd, Parsec, GRUB или аппаратный TTY).

×

Полный размер Слайдшоу Предыдущий Следующий