1. GRUB (Grand Unified Bootloader) gebruiken - de meest gebruikelijke methode

Deze methode houdt in dat u het opstartproces onderbreekt en opstart in een modus voor één gebruiker, waarin u het wachtwoord opnieuw kunt instellen.

Stappen:

1. Start het systeem opnieuw op: Start uw Linux-machine opnieuw op.

2. Onderbreek het opstartproces: Terwijl het systeem opstart, let op het GRUB-menu. Normaal gesproken ziet u een lijst met besturingssystemen. Mogelijk moet u herhaaldelijk op een toets drukken (zoals `Esc`, `Shift`, `e` of `Enter`) of deze ingedrukt houden om het menu weer te geven. De sleutel varieert afhankelijk van uw systeem en GRUB-configuratie. Als je het GRUB-menu niet ziet, is het mogelijk verborgen. Als u tijdens het opstarten 'Shift' ingedrukt houdt, wordt dit vaak zichtbaar.

3. Bewerk het GRUB-item: Zodra het GRUB-menu wordt weergegeven, gebruikt u de pijltoetsen om het item te markeren dat u wilt opstarten (meestal de standaard Linux-optie). Druk op `e` om het geselecteerde item te bewerken. Hierdoor wordt een teksteditor geopend binnen de GRUB-omgeving.

4. Zoek de kernelregel: Zoek naar een regel die begint met `linux` of `linux16`. Deze regel bevat parameters die tijdens het opstarten aan de kernel worden doorgegeven.

5. Voeg `init=/bin/bash` of `rd.break enforcing=0` (of `systemd.unit=emergency.target`) toe aan de kernelregel:

* `init=/bin/bash`: Dit is de oudere, meer gebruikelijke methode. Het vertelt de kernel om `/bin/bash` te starten als het initiële proces in plaats van het normale init-systeem (zoals systemd of SysVinit). Dit geeft je effectief een wortelschil. Nadat u klaar bent met het wijzigen van het wachtwoord, moet u het rootbestandssysteem opnieuw koppelen als lezen-schrijven voordat u het wachtwoord kunt wijzigen.

* `rd.break enforcing=0` (CentOS/RHEL/Fedora met SELinux): Dit is over het algemeen de *voorkeur* methode voor op Red Hat gebaseerde systemen (CentOS, RHEL, Fedora) waarop SELinux is ingeschakeld. `rd.break` vertelt de initramfs om het opstartproces te stoppen voordat naar het echte rootbestandssysteem wordt overgeschakeld, waardoor u de kans krijgt om wijzigingen aan te brengen. `enforcing=0` zet SELinux in de permissieve modus, waardoor wordt voorkomen dat SELinux zich bemoeit met het opnieuw instellen van je wachtwoord.

* `systemd.unit=emergency.target` (Systemd-systemen): Hierdoor wordt het systeem opgestart in de noodmodus

Voorbeeld (met `init=/bin/bash`):

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro stille splash $vt_handoff

```

Wijzig het naar:

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro stille splash $vt_handoff init=/bin/bash

```

Voorbeeld (met `rd.break enforcing=0`):

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro stille splash $vt_handoff

```

Wijzig het naar:

```

linux /boot/vmlinuz-5.15.0-72-generic root=/dev/mapper/vgubuntu-root ro stille splash $vt_handoff rd.break enforcing=0

```

Plaats de optie aan het *einde* van de regel, na eventuele andere bestaande opties, gescheiden door een spatie.

6. Start het bewerkte item op: Druk op `Ctrl+x` of `F10` om op te starten met de gewijzigde GRUB-invoer.

7. Hermonteer het rootbestandssysteem (als u `init=/bin/bash` gebruikt):

* Met `init=/bin/bash` wordt het rootbestandssysteem alleen-lezen aangekoppeld. U moet het opnieuw koppelen als lezen en schrijven voordat u het wachtwoord kunt wijzigen. Voer de volgende opdracht uit:

``` bash

mount -o hermonteren,rw /

```

8. Wijzig het rootwachtwoord: Gebruik het `passwd`-commando:

``` bash

wachtwoord

```

Voer het nieuwe wachtwoord in wanneer daarom wordt gevraagd. Ter bevestiging wordt u gevraagd het opnieuw in te voeren.

9. Als je `rd.break enforcing=0` gebruikt (CentOS/RHEL/Fedora met SELinux):

* Het bestandssysteem bevindt zich mogelijk niet in de hoofdmap. Je zult eerst naar de root moeten chrooten.

``` bash

chroot /sysroot

```

* Wijzig nu het rootwachtwoord:

``` bash

wachtwoord

```

10. Schakel SELinux opnieuw in (als je `rd.break enforcing=0` gebruikt):

* Nadat u het wachtwoord hebt gewijzigd, moet u het bestandssysteem opnieuw labelen.

``` bash

raak /.autorelabel aan

Uitgang

Uitgang

```

Het systeem zal opnieuw opstarten en het herlabelingsproces uitvoeren. Dit kan een tijdje duren. Onderbreek het proces niet.

11. Opnieuw opstarten: Typ `exec /sbin/init` (of `reboot -f` als het eerste commando niet werkt, maar dit is minder schoon en kan mogelijk leiden tot inconsistenties in het bestandssysteem). Als je `init=/bin/bash` gebruikt, kan het typen van `exit` in sommige gevallen werken, maar `exec /sbin/init` is over het algemeen betrouwbaarder.

Belangrijke overwegingen voor de GRUB-methode:

* GRUB-wachtwoordbeveiliging: Als je GRUB-bootloader met een wachtwoord is beveiligd, zal deze methode niet direct werken. Je moet eerst het GRUB-wachtwoord weten.

* Codering (LUKS): Als uw rootbestandssysteem gecodeerd is (bijvoorbeeld met behulp van LUKS), moet u de gecodeerde partitie *voordat* u er toegang toe krijgt, ontgrendelen en het wachtwoord wijzigen. Meestal houdt dit in dat u tijdens het opstarten het decoderingswachtwoord invoert. De bovenstaande stappen zijn dan van toepassing na het ontgrendelen van het gecodeerde volume.

* SELinux (CentOS/RHEL/Fedora): Op systemen waarop SELinux is ingeschakeld, is het *cruciaal* om het bestandssysteem opnieuw te labelen na het wijzigen van het wachtwoord, zoals getoond in de `rd.break` instructies. Als u dit niet doet, kunt u ernstige problemen tegenkomen, waaronder het onvermogen om in te loggen, zelfs met het juiste wachtwoord.

2. Een live-cd/USB gebruiken

Deze methode houdt in dat je opstart vanuit een live Linux-omgeving (bijvoorbeeld Ubuntu Live CD, Fedora Live USB) en je rootpartitie aankoppelt om het wachtwoord te wijzigen.

Stappen:

1. Opstarten vanaf Live Media: Start uw computer op vanaf een Linux Live CD of USB-station.

2. Identificeer uw rootpartitie: Open een terminal in de live omgeving. Gebruik het `lsblk` of `fdisk -l` commando om de juiste partitie te identificeren die het rootbestandssysteem van je Linux-installatie bevat (`/`). Zoek naar de partitie waaraan het `root` mountpoint is toegewezen.

3. Monteer de rootpartitie: Maak een koppelpunt (een map) en koppel daar de rootpartitie. Vervang `/dev/sdaX` door het daadwerkelijke apparaat en de partitie die u in de vorige stap hebt geïdentificeerd.

``` bash

sudo mkdir /mnt/myroot

sudo mount /dev/sdaX /mnt/myroot

```

Als je een aparte `/boot` partitie hebt, moet je die wellicht ook mounten:

``` bash

sudo mount /dev/sdaY /mnt/myroot/boot # Vervang /dev/sdaY door uw opstartpartitie

```

4. Speciale bestandssystemen koppelen: Mount de bestandssystemen `proc`, `sys` en `dev` vanuit de live-omgeving in de aangekoppelde hoofdmap. Dit is nodig om `chroot` correct te laten werken.

``` bash

sudo mount -o bind /proc /mnt/myroot/proc

sudo mount -o bind /sys /mnt/mijnroot/sys

sudo mount -o bind /dev /mnt/myroot/dev

sudo mount -o bind /dev/pts /mnt/myroot/dev/pts

```

5. Chrroot naar het rootbestandssysteem: Gebruik het commando `chroot` om de hoofdmap te wijzigen naar de aangekoppelde partitie. Dit maakt uw aangekoppelde partitie de "root" voor volgende opdrachten.

``` bash

sudo chroot /mnt/mijnroot

```

6. Wijzig het rootwachtwoord: Gebruik het `passwd`-commando:

``` bash

wachtwoord

```

Voer het nieuwe wachtwoord in wanneer daarom wordt gevraagd.

7. Chroot afsluiten en ontkoppelen:

``` bash

exit # Sluit de chroot-omgeving af

sudo umount /mnt/myroot/dev/pts

sudo umount /mnt/myroot/dev

sudo umount /mnt/myroot/sys

sudo umount /mnt/myroot/proc

sudo umount /mnt/myroot/boot # Als u /boot

sudo umount /mnt/myroot

```

8. Opnieuw opstarten: Start uw computer opnieuw op en start op vanaf uw gewone harde schijf.

Belangrijke overwegingen voor de Live CD/USB-methode:

* Codering (LUKS): Als uw rootbestandssysteem gecodeerd is, moet u het vanuit de live-omgeving ontgrendelen *voordat* u het kunt mounten. Gebruik `cryptsetup luksOpen /dev/sdaX myroot` (vervang `/dev/sdaX` door de gecodeerde partitie) en voer de wachtwoordzin in. Mount vervolgens `/dev/mapper/myroot` in plaats van `/dev/sdaX`.

* LVM (Logisch Volumebeheer): Als uw rootbestandssysteem zich op een logisch LVM-volume bevindt, moet u mogelijk eerst de volumegroep activeren:`sudo vgchange -ay`. Identificeer vervolgens het logische volume en koppel het.

* Veilig opstarten: Als Secure Boot is ingeschakeld in uw UEFI-instellingen, moet u dit mogelijk uitschakelen of configureren om opstarten vanaf externe media toe te staan.

3. Gebruik van de `single` kernelparameter (minder gebruikelijk, werkt mogelijk niet op alle systemen)

Deze methode is vergelijkbaar met de GRUB-methode, maar gebruikt een andere kernelparameter. Het is misschien niet zo betrouwbaar als de methode `init=/bin/bash` op moderne systemen.

Stappen:

1. Start het opstartproces opnieuw op en onderbreek het: Hetzelfde als bij de GRUB-methode (stappen 1 en 2).

2. Bewerk het GRUB-item: Hetzelfde als bij de GRUB-methode (stappen 3 en 4).

3. Voeg `single` of `1` toe aan de kernelregel: Voeg `single` of `1` toe aan het einde van de regel `linux` of `linux16`.

4. Start het bewerkte item op: Druk op `Ctrl+x` of `F10` om op te starten.

5. Wijzig het rootwachtwoord: Het systeem zou moeten opstarten in de modus voor één gebruiker, waardoor u een rootshell krijgt. Gebruik het `passwd`-commando:

``` bash

wachtwoord

```

6. Opnieuw opstarten: Typ 'opnieuw opstarten'.

Waarom deze methoden werken (uitleg):

* GRUB en modus voor één gebruiker: GRUB is de bootloader die de Linux-kernel laadt. Door het opstartproces te onderbreken en de kernelparameters te wijzigen, kunnen we de kernel instrueren om op te starten in een speciale modus (single-user-modus) waar we directe toegang hebben tot het root-account *zonder* dat we een wachtwoord nodig hebben. Dit komt omdat de modus voor één gebruiker is ontworpen voor systeemonderhoud en herstel. De parameter `init=/bin/bash` overschrijft het standaard initialisatieproces, waardoor u direct een rootshell krijgt.

* Live CD/USB en Chroot: Een live CD/USB biedt een aparte, functionerende Linux-omgeving. Door de rootpartitie van uw geïnstalleerde systeem te mounten en `chroot` te gebruiken, "schakelt" u feitelijk het rootbestandssysteem naar de hoofdmap van uw geïnstalleerde systeem. Hierdoor kunt u opdrachten (zoals `passwd`) uitvoeren alsof u bent ingelogd op uw geïnstalleerde systeem, ook al voert u ze feitelijk vanuit de live-omgeving uit.

Beveiligingsoverwegingen:

* Fysieke toegang: Deze methoden vereisen fysieke toegang tot de machine. Als iemand fysieke toegang heeft, kan deze mogelijk het systeem in gevaar brengen, ongeacht het wachtwoord.

* GRUB-wachtwoord: Overweeg het instellen van een wachtwoord voor GRUB om ongeoorloofde wijziging van opstartopties te voorkomen.

* Codering: Het coderen van uw rootbestandssysteem (bijvoorbeeld met LUKS) voegt een sterke beveiligingslaag toe, omdat een aanvaller het wachtwoord voor de decodering nodig heeft om toegang te krijgen tot de gegevens, zelfs bij fysieke toegang.

* Veilig opstarten: Secure Boot helpt voorkomen dat ongeautoriseerde bootloaders worden uitgevoerd, waardoor een extra beveiligingslaag wordt geboden.

De juiste methode kiezen:

* GRUB: De GRUB-methode is over het algemeen de gemakkelijkste en snelste als je directe toegang tot het systeem hebt en het opstartproces kunt onderbreken. Het is echter kwetsbaar als GRUB met een wachtwoord is beveiligd of als het bestandssysteem is gecodeerd zonder de wachtwoordzin te kennen. Het is ook de methode die het meest waarschijnlijk door SELinux wordt beïnvloed.

* Live-CD/USB: De Live CD/USB-methode is veelzijdiger en kan zelfs worden gebruikt als GRUB met een wachtwoord is beveiligd. Het vereist wat meer instellingen, maar biedt een meer gecontroleerde omgeving. Het is vooral handig als u eerst een gecodeerd bestandssysteem moet ontgrendelen.

Belangrijke opmerkingen:

* Back-up: Voordat u een van deze methoden probeert, is het *sterk aanbevolen* om een ​​recente back-up van uw belangrijke gegevens te hebben. Hoewel deze procedures over het algemeen veilig zijn, bestaat er altijd een risico op gegevensverlies als er iets misgaat.

* Zorg en nauwkeurigheid: Controleer alle opdrachten en partitienamen nogmaals voordat u ze uitvoert. Typografische fouten kunnen tot ernstige problemen leiden.

* SELinux: Wees vooral voorzichtig met systemen die SELinux ondersteunen (CentOS, RHEL, Fedora). Volg de stappen voor het opnieuw labelen nauwkeurig.

* Herstelmodus: Sommige Linux-distributies bieden een optie "Herstelmodus" in het GRUB-menu. Deze modus start vaak op in een rootshell, waardoor het proces voor het opnieuw instellen van het wachtwoord wordt vereenvoudigd. Het kan echter nog steeds nodig zijn om het bestandssysteem opnieuw te koppelen als lezen-schrijven.

* Cloud-instanties: Op virtuele machines in de cloud (bijvoorbeeld AWS EC2, Azure VM's, Google Cloud Compute Engine) kunnen de procedures voor wachtwoordherstel variëren. Cloudproviders bieden doorgaans mechanismen aan om het rootwachtwoord opnieuw in te stellen via hun webconsoles of API's. Raadpleeg de documentatie van uw specifieke cloudprovider.

Door deze methoden en hun overwegingen te begrijpen, kun je met vertrouwen een verloren root-wachtwoord op je Linux-systeem herstellen. Vergeet niet om prioriteit te geven aan beveiliging en maak altijd een back-up van uw gegevens.