Как восстановить забытый пароль root в ESXi 7.x и ESXi 8.x
Если вы забыли пароль root для ESXi, VMware рекомендует переустановить ESXi. В небольших средах без автоматизированного развертывания и централизованных профилей вам потребуется настроить всё вручную. В качестве альтернативы, вы можете воспользоваться неофициальным методом сброса пароля. Если вы управляете ESXi через vCenter, вы можете сбросить пароль, используя привилегированную учётную запись в vCenter. Кроме того, принадлежность хоста ESXi к домену AD может быть большим подспорьем. Если эти возможности недоступны, вы не сможете сбросить пароль автономного хоста, поскольку система хранит хэш пароля в зашифрованном файле конфигурации, который невозможно расшифровать без прав root. По этой причине старый метод загрузки хоста из Linux и непосредственного редактирования файла конфигурации больше не работает после ESXi 6.x.
Альтернативное решение с использованием виртуального хостинга
Данный метод предполагает настройку второго (виртуального) хоста и перенос ключа с основного хоста на него. Это позволяет извлечь конфигурацию и изменить хеш пароля в базе данных SQLite. Для этого необходимо смонтировать загрузочные носители как физического, так и виртуального хостов, так как перезаписать файл конфигурации во время работы системы невозможно, и она отклонит изменения при следующей загрузке. Для доступа к конфигурации ESXi подходит система Linux; проще всего использовать Live CD.
Установка виртуального ESXi
Чтобы отредактировать конфигурацию ESXi физического хоста, вам понадобится другой хост ESXi с точно такой же версией, для которого вы не забыли пароль.
Создайте новую виртуальную машину, выберите «Другое» в качестве гостевой операционной системы и выберите версию ESXi, которую вы хотите установить.
Затем перейдите на страницу «Настройка параметров», в разделе «Виртуальное оборудование» => «ЦП» включите опцию «Предоставить аппаратную виртуализацию гостевой ОС».
Наконец, смонтируйте установочный ISO-файл ESXi как DVD-привод и включите опцию «Подключаться при включении питания». Сначала необходимо загрузить этот файл на хост ESXi через «Хранилище» => «Обозреватель хранилищ данных» => «Загрузить».
Резервное копирование state.tgz
Следующий шаг — резервное копирование файла state.tgz на физическом хосте. В этом файле хранятся постоянные данные конфигурации, необходимые хосту для восстановления состояния при следующей загрузке.
Этот файл содержит хэш забытого пароля и ключ, используемый для шифрования файла local.tgz внутри него.
Если вы загрузили хост с USB (не рекомендуется VMware), отключите его и подключите к компьютеру с Windows. Если хост загружается с внутреннего диска, загрузите его в среду Linux с внешнего диска и смонтируйте раздел 6, отформатированный в FAT, в /mnt, например:
монтировать /dev/sdb6 /mnt
Затем файл /mnt/bootbank/state.tgz на локальный диск (если доступен для записи) или на сетевой диск с помощью стандартных инструментов Linux, таких как SCP-1811 Или фтп Копировать. Также рекомендуется сделать резервную копию этого файла.
Копировать state.tgz в виртуальный ESXi
Далее копируем файл резервной копии в каталог /tmp Перенесите виртуальный хост ESXi, например, с помощью SCP-1811. Если файл находится на компьютере под управлением Windows, команда может выглядеть так:
scp "C:\temp\state.tgz" [email protected]:/tmp/state.tgzسپس به دایرکتوری /tmp در هاست هدف بروید و فایل state.tgz را استخراج کنید:
tar -zxvf state.tgzوارد کردن کلید به state.tgz در ESXi مجازی
در مرحله بعد، فایل state.tgz مربوط به هاست مجازی را کپی، رمزگشایی و ویرایش میکنید تا کلید هاست فیزیکی را در آن جای دهید. برای این کار دستورات زیر را در shell هاست مجازی وارد کنید:
cp /bootbank/state.tgz /tmp/state.tgz
cd /tmp
tar -xzf state.tgz
rm state.tgz
vmtar -x local.tgz -o local.tar
tar -xf local.tar
rm local.tar
cp /tmp/encryption.info etc/vmware/
vmtar -c local.tar etc/vmware -o local.tgz
mv local.tgz state-mod.tgzاین دستورات فایل state.tgz رمزگذاری شده هاست مجازی را استخراج، رمزگشایی و بسته تنظیمات محلی (local.tgz) اصلاحشده ایجاد میکنند.
ویرایش فایل پیکربندی در هاست هدف
بعد، فایل /tmp/state-mod.tgz را به کامپیوتر خود کپی کنید:
scp [email protected]:/tmp/state-mod.tgz "C:\temp\state-mod.tgz"سپس هاست مجازی را خاموش کنید تا بتوانید درایو VMDK آن را آزاد کنید.
مونت کردن VMDK هاست هدف در یک VM لینوکس
اکنون فایل VMDK این VM را به یک VM لینوکس متصل کنید و آن را روشن کنید. در ترمینال سیستم مهمان دستور
fdisk -lباید دو پارتیشن bootbank شماره 5 و 6 را نمایش دهد.
انتقال state-mod.tgz به VM لینوکس و جایگزینی state.tgz
برای انتقال فایل state-mod.tgz که قبلاً ساختید، از کامپیوتر ویندوز (مسیر C:\temp) به ماشین لینوکس (دایرکتوری /home/thomas) با آدرس IP 10.0.7.140، میتوانید از دستور زیر در ترمینال یا پاورشل ویندوز استفاده کنید:
توضیحات:
scpابزار امن کپی فایل بین سیستمها است.[email protected]یعنی نام کاربریthomasروی ماشین لینوکس با آدرس IP مذکور./home/thomas/state-mod.tgzمسیر مقصد فایل در لینوکس است.
بعد از اجرای این دستور، سیستم از شما پسورد کاربر thomas را میپرسد و پس از وارد کردن آن، انتقال فایل آغاز میشود.
اگر در ویندوز از ترمینال معمولی استفاده میکنید و دستور scp شناسایی نمیشود، باید OpenSSH Client را نصب یا از ابزارهایی مانند PuTTY (pscp) استفاده کنید.
اگر خواستید میتوانم راهنمای استفاده از این ابزارها هم برایتان بنویسم.
scp "C:\temp\state-mod.tgz" [email protected]:/home/thomas/state-mod.tgzسپس پارتیشنهای bootbank را مانت کرده و فایل state.tgz را با state-mod.tgz جایگزین کنید:
sudo su
mkdir -p /bootbank1
mkdir -p /bootbank2
mount /dev/sdc5 /bootbank1
mount /dev/sdc6 /bootbank2
cp /home/thomas/state-mod.tgz /bootbank1/state.tgz
cp /home/thomas/state-mod.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2سپس فایل VMDK را از VM لینوکس جدا کرده و هاست مجازی را دوباره راهاندازی کنید. حالا پیکربندی با کلید رمزگشایی شده هاست فیزیکی بارگذاری میشود.
در این مرحله، فایل state.tgz هاست فیزیکی که قبلاً کپی کردهاید را به دایرکتوری /tmp هاست مجازی منتقل کنید.
سپس فایل local.tgz.ve داخل آن را رمزگشایی کنید:
cd /tmp
cp /bootbank/state.tgz ./
tar -xzf state.tgz
rm state.tgz
vmtar -x local.tgz.ve -o local.tgzجایگزینی هش پسورد در پایگاه داده پیکربندی ESXi
اکنون کار اصلی یعنی جایگزینی هش پسورد را انجام دهید. ابتدا فایل local.tgz را استخراج کنید:
tar -zxvf local.tgzپس از استخراج، سه دایرکتوری .ssh، etc/ و var/ در /tmp خواهید داشت. پایگاه داده پیکربندی مربوطه در مسیر زیر است:
/tmp/var/lib/vmware/configstore/backup/current-store-1در این دیتابیس باید هش پسورد root فراموش شده را با هش جدیدی که میدانید جایگزین کنید. چون فایل یک پایگاه داده SQLite است، میتوانید با ابزار sqlite3 آن را ویرایش کنید. هش کنونی پسورد root را میتوانید با دستور زیر ببینید:
/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "select * from config where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"
برای تولید هش جدید، میتوانید از دستور زیر استفاده کنید:
openssl passwd -6یا از یک ژنراتور آنلاین استفاده کنید.
سپس هش جدید را به صورت زیر وارد دیتابیس کنید:
/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "update config set UserValue='"name":"root","password_hash":"$6$s6ic82Ik$ER28x38x.1umtnQ99Hx9z0ZBOHBEuPYneedI1ekK2cwe/jIpjDcBNUHWHw0LwuRYJWhL3L2ORX3I5wFxKmyki1","description":"Administrator"' where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"
بازسازی state.tgz برای هاست فیزیکی
بعد از جایگزینی هش پسورد، باید فایل state.tgz را دوباره از اجزای اصلی که در /tmp استخراج کردهاید، بازسازی کنید. فایل جدید شامل دیتابیس اصلاح شده خواهد بود:
vmtar -c etc .ssh var -o local.tgz
vmtar -c local.tgz -o local.tgz.ve
tar -czf state-recover.tgz local.tgz.veفایل state-recover.tgz را باید به VM لینوکس منتقل کنید. اگر ESXi روی یک USB نصب شده، میتوانید به سادگی آن را در VM لینوکس مانت کنید. اما اگر ESXi به صورت عادی از دیسک بوت میشود، هاست را از USB با توزیع لینوکسی مثل Ubuntu بوت کنید.
سپس همانند مرحله 5، پارتیشنها را مانت کنید و فایل state.tgz را با state-recover.tgz جایگزین کنید:
sudo su
mkdir -p /bootbank1
mkdir -p /bootbank2
mount /dev/sdb5 /bootbank1
mount /dev/sdb6 /bootbank2
cp /root/state-recover.tgz /bootbank1/state.tgz
cp /root/state-recover.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2وقتی هاست فیزیکی با این پیکربندی جدید بوت شود، باید بتوانید دوباره با کاربر root وارد شوید.
نکته: اگر پسورد root هاست ESXi را فراموش کنید و نتوانید از طریق vCenter یا اکانت AD ریست کنید، تنها گزینه رسمی، نصب مجدد است. اما یک روش غیررسمی وجود دارد که با استفاده از هاست دوم، پیکربندی هاست اول را ویرایش میکند.
