VMware虚拟机中RHEL 9 root密码重置指南

1. 项目概述

在Linux系统管理中，忘记root密码是常见但棘手的问题。本文将详细介绍在VMware虚拟机环境中重置Red Hat Enterprise Linux 9（RHEL 9）系统root密码的完整流程。不同于普通用户密码重置，root密码恢复需要进入特殊救援模式，涉及系统启动流程的临时修改和文件系统的重新挂载。

重要提示：此方法仅适用于您拥有合法访问权限的系统。未经授权重置他人系统密码可能违反法律法规。

2. 准备工作与环境确认

2.1 确认系统版本

首先需要确认您的系统确实是RHEL 9。可以通过以下方式验证：

• 查看启动界面显示的版本信息
• 若已能部分登录，执行cat /etc/redhat-release命令

2.2 虚拟机环境准备

确保VMware Tools已安装并正常运行，这关系到后续操作中键盘响应的灵敏度：

1. 在VMware菜单中选择"虚拟机"→"安装VMware Tools"
2. 挂载ISO后执行安装脚本

3. 详细操作步骤解析

3.1 进入GRUB编辑模式

1. 启动虚拟机，在BIOS界面结束后立即快速点击虚拟机窗口
2. 当出现GRUB菜单时（通常有5秒倒计时），使用方向键选择第二项"Red Hat Enterprise Linux"
3. 按下e键进入编辑模式

操作技巧：如果错过GRUB界面，需重启虚拟机重试。可提前在VMware设置中将"启动时进入BIOS"延迟调为3-5秒。

3.2 修改启动参数

1. 在编辑界面找到以linux开头的行
2. 将光标移动到quiet参数后
3. 输入rd.break（注意前面要有空格）
4. 按Ctrl+x组合键继续启动

原理说明：rd.break参数会中断正常启动流程，在initramfs阶段暂停，进入紧急救援shell。此时/系统尚未完全挂载，处于只读状态。

3.3 重新挂载文件系统

在出现的救援shell中依次执行：

bash复制mount -o remount,rw /sysroot
chroot /sysroot

关键点解析：

• mount -o remount,rw /sysroot：将原本只读的根文件系统重新挂载为可写
• chroot /sysroot：将根目录切换到实际系统根，否则修改的只是initramfs环境

3.4 修改root密码

1. 执行passwd命令
2. 输入新密码（不会显示字符）
3. 再次确认新密码
4. 创建自动重新标记文件：touch /.autorelabel
5. 连续执行两次exit退出

安全建议：密码应包含大小写字母、数字和特殊字符，长度不少于12位。例如St#2023RHEL!比简单的123456安全得多。

3.5 SELinux上下文重置

执行touch /.autorelabel至关重要，它会在下次启动时：

1. 触发SELinux自动重新标记所有文件上下文
2. 防止因密码文件修改导致的SELinux安全上下文不一致问题
3. 确保系统安全策略正常运作

4. 完整流程示例

以下是带注释的完整命令序列：

bash复制# 进入单用户模式
mount -o remount,rw /sysroot  # 重新挂载为可写
chroot /sysroot               # 切换根目录
passwd                        # 修改root密码
New password: [输入密码]
Retype new password: [确认密码]
touch /.autorelabel           # 创建标记文件
exit                          # 退出chroot
exit                          # 退出救援shell

5. 常见问题与解决方案

5.1 键盘无响应问题

现象：无法在GRUB界面使用方向键
解决方案：

1. 检查VMware键盘设置
2. 尝试按ESC键取消启动后再试
3. 确保虚拟机窗口已获得焦点

5.2 密码修改后无法登录

可能原因：

1. 未创建.autorelabel文件
2. SELinux策略冲突
3. 密码强度不足被拒绝

排查步骤：

1. 重新进入救援模式检查/etc/shadow文件是否更新
2. 查看/var/log/audit/audit.log中的SELinux拒绝记录
3. 尝试设置更复杂密码

5.3 系统启动卡住

现象：在.autorelabel阶段停留过久
处理方法：

1. 耐心等待（首次标记可能需要20-30分钟）
2. 若超过1小时，可强制重启并检查文件系统

6. 安全增强建议

1. 定期备份关键文件：

   • /etc/shadow
   • /etc/passwd
   • /etc/selinux/config

2. 设置GRUB密码：
   编辑/etc/grub.d/40_custom添加：

   bash复制set superusers="admin"
   password admin 复杂密码
   

   然后运行grub2-mkconfig -o /boot/grub2/grub.cfg

3. 启用审计日志：

   bash复制auditctl -w /etc/shadow -p wa -k shadow_changes
   

7. 替代方案比较

8. 进阶技巧

1. 密码策略配置：
   编辑/etc/login.defs设置：

   bash复制PASS_MAX_DAYS 90
   PASS_MIN_DAYS 7
   PASS_WARN_AGE 14
   

2. 密码历史记录：
   在/etc/pam.d/system-auth中添加：

   bash复制password requisite pam_pwhistory.so remember=5
   

3. 自动过期提醒：
   创建定期任务：

   bash复制echo '0 0 * * * root /usr/local/bin/pw_expire_alert.sh' > /etc/cron.d/pw_alert
   

9. 系统重启后的验证

1. 成功登录后立即检查：

   bash复制ls -Z /etc/shadow      # 确认SELinux上下文
   ausearch -k shadow_changes  # 检查审计日志
   passwd -S root         # 查看密码状态
   

2. 建议后续操作：

   bash复制yum update -y         # 更新系统
   reboot                # 应用所有更新
   

10. 虚拟化环境特别注意事项

1. VMware快照管理：

   • 操作前创建快照
   • 成功后删除旧快照
   • 定期整理快照链

2. 性能优化：

   bash复制echo "vm.dirty_ratio = 10" >> /etc/sysctl.conf
   echo "vm.swappiness = 10" >> /etc/sysctl.conf
   sysctl -p
   

3. 时钟同步：

   bash复制yum install open-vm-tools
   systemctl enable --now vmtoolsd
   

经过上述步骤，您应该已经成功重置了RHEL 9系统的root密码。在实际生产环境中，建议将此操作记录到变更管理系统，并通知相关团队成员密码已更新。