Подробный гайд: Как восстановить права root в Astra Linux после их удаления

Восстановление прав root в Astra Linux, сброс пароля, настройка привилегий Parsec, работа с GRUB, chroot, установочным носителем, особенности МКЦ, безопасность

2026.04.08                  

Подробный гайд: Как восстановить права root в Astra Linux после их удаленияПодробный гайд: Как восстановить права root в Astra Linux после их удаления

Важно:

  • Все операции выполняйте с осторожностью. Неправильные действия могут привести к потере данных или нарушению работы системы защиты информации.

Предварительные требования

  • Физический или консольный доступ к системе
  • Знание пароля пользователя, созданного при установке (или доступ к загрузчику GRUB)
  • Понимание особенностей мандатного контроля целостности (МКЦ) в Astra Linux Special Edition

Способ 1: Восстановление через графический интерфейс (если есть доступ к обычному пользователю)

Шаг 1: Установка/сброс пароля root

  1. Откройте терминал (Fly-терминал: Меню -> Системные -> Терминал Fly)

2. Выполните команды:

sudo su -
passwd root
  1. Введите новый пароль для root (символы не отображаются при вводе) и подтвердите его

Шаг 2: Восстановление привилегий root в политике безопасности

  1. Зайдите под пользователем, созданным при установке системы
  2. Откройте: Пуск -> Панель управления -> Безопасность -> Политика безопасности

3. В окне Управление политикой безопасности:

  • Слева выберите Мандатный контроль целостности
  • Снимите галочку с Подсистема Мандатного Контроля Целостности
  • Подтвердите изменения (зелёная галочка)
  1. Дождитесь применения изменений, откажитесь от немедленной перезагрузки
  2. Вернитесь в Управление политикой безопасности -> Пользователи
  3. Переключите фильтр с Обычные на Все
  4. Разверните список Пользователи -> выберите root
  5. Перейдите на вкладку Привилегии
  6. Включите все привилегии в обоих столбцах: Linux и Parsec
  7. Подтвердите изменения и выполните перезагрузку системы

Шаг 3: Разрешение графического входа для root (если нужно)

Если появляется ошибка "Root login are not allowed":

  1. Откройте: Панель управления -> Вход в систему -> вкладка Пользователи
  2. Установите флаг Разрешить вход администратору root
  3. Перезагрузите систему

Способ 2: Через режим восстановления GRUB (если нет доступа к пользователю)

Шаг 1: Вход в режим восстановления

  1. Перезагрузите систему
  2. В меню GRUB2 выберите пункт с пометкой recovery mode
  3. Введите пароль администратора, созданного при установке

Если пароль неизвестен — перейдите к Способу 3

Шаг 2: Работа в режиме восстановления

После загрузки вы получите консоль с правами root:

# Файловые системы уже примонтированы согласно /etc/fstab
# Выполните необходимые действия:

# Сброс пароля root
passwd root

# Или редактирование прав напрямую
nano /etc/security/parsec.conf
# или
nano /etc/sudoers

Шаг 3: Выход и перезагрузка

sync
reboot

Способ 3: Через редактирование параметров ядра (если пароль GRUB неизвестен)

Шаг 1: Редактирование параметров загрузки

  1. В меню GRUB нажмите "e" для редактирования
  2. Если установлен пароль загрузчика — введите логин/пароль администратора

3. Найдите строку, начинающуюся с "linux":

linux /boot/vmlinuz-... root=UUID=... ro quiet

4. Внесите изменения:

  • Замените "ro" на "rw" (для записи в ФС)
  • Добавьте в конец строки: "init=/bin/bash"
   linux /boot/vmlinuz-... root=UUID=... rw quiet init=/bin/bash
  1. Нажмите Ctrl+X или F10 для загрузки

Шаг 2: Работа в режиме single-user

# Файловая система примонтирована в режиме read-only — перемонтируйте:
mount -o remount,rw /

# Сброс пароля root:
passwd root

# Или редактирование /etc/shadow вручную:
nano /etc/shadow
# Удалите хэш пароля для root (между первым и вторым двоеточием)

Шаг 3: Завершение работы

# Синхронизация дисков
sync

# Перезагрузка (альтернативные методы):
exec /sbin/init
# или
echo b > /proc/sysrq-trigger  # принудительная перезагрузка

Способ 4: Через установочный носитель (универсальный)

Для Astra Linux Special Edition 1.8 (Live-режим)

  1. Загрузитесь с установочного носителя
  2. При появлении приглашения нажмите "C", затем F10
  3. Выберите «Выйти в консоль» -> Enter

4. Определите корневой раздел:

lsblk
# или
blkid

5. Смонтируйте систему:

# Без LVM:
mount /dev/sda2 /mnt

# С LVM (стандартная разметка Astra):
lvm vgchange -a y
mount /dev/VG/lv_root /mnt
mount /dev/VG/lv_home /mnt/home

6. Примонтируйте системные каталоги:

mount --bind /dev /mnt/dev
mount --bind /dev/pts /mnt/dev/pts
mount --bind /sys /mnt/sys
mount --bind /proc /mnt/proc

7. Перейдите в окружение установленной системы:

chroot /mnt

8. Выполните восстановление:

passwd root
# или настройка привилегий через parsec-admin

9. Выйдите и перезагрузитесь:

exit
umount -R -l /mnt
reboot

Для Astra Linux 1.7 и ранее

  1. Загрузитесь с установочного диска
  2. Выберите «Режим восстановления» в меню установщика
  3. Пройдите первичную настройку (язык, клавиатура, часовой пояс)
  4. Выберите корневой раздел (обычно /dev/sda1 MBR или /dev/sda2 GPT)
  5. Запустите оболочку в корневом разделе
  6. Если не работает mc или консоль — переключитесь на псевдотерминал: Alt+Ctrl+F2

7. Выполните:

chroot /target
passwd root
# или настройка политик
  1. Вернитесь в основную консоль (Ctrl+Alt+F1), нажмите Ctrl+D, извлеките носитель и перезагрузитесь

Особенности Astra Linux Special Edition

Мандатный контроль целостности (МКЦ)

  • В Astra Linux SE права root регулируются не только стандартными механизмами Linux, но и подсистемой Parsec
  • Даже с паролем root может не иметь доступа к определённым операциям без соответствующих меток безопасности и привилегий Parsec

Для полного восстановления прав необходимо:

  1. Временно отключить МКЦ при настройке
  2. Назначить root все привилегии в интерфейсе политики безопасности
  3. Включить МКЦ обратно после настройки

Работа с доменом Active Directory / FreeIPA

Если система в домене, права root для доменных учётных записей настраиваются отдельно:

# Пример добавления прав через sudo:
# Файл: /etc/sudoers.d/astra-ad
%domain admins ALL=(ALL) ALL

Устранение частых проблем

Проблема Решение
Cannot open access to console, the root account is locked Сбросьте пароль через single-user mode или установочный носитель
"Root login are not allowed" в графическом режиме Включите опцию в Панель управления -> Вход в систему -> Пользователи
Не сохраняются изменения в /etc/shadow Убедитесь, что ФС примонтирована в режиме rw: mount -o remount,rw /
Не работает sudo после восстановления Проверьте файл /etc/sudoers и группу astra-admin
Система не загружается после изменений Используйте режим восстановления GRUB или установочный носитель для отката

Рекомендации по безопасности

  1. Не оставляйте root без пароля — это критическая уязвимость
  2. Используйте sudo вместо прямого входа root — это обеспечивает аудит действий
  3. Защитите загрузчик GRUB паролем — предотвратит несанкционированный сброс пароля
  4. Отключите загрузку с внешних носителей в BIOS — ограничит физический доступ к восстановлению
  5. Регулярно создавайте резервные копии конфигураций политик безопасности

Совет:

  • В Astra Linux Special Edition предпочтительнее работать через пользователя из группы astra-admin с использованием sudo, а не через прямой вход root — это соответствует требованиям безопасности и обеспечивает логирование привилегированных действий.

Документация основана на официальных источниках Astra Linux и проверенных методах восстановления. Перед применением в производственной среде протестируйте процедуру на тестовой системе.

×

Полный размер Слайдшоу Предыдущий Следующий