【抢救攻略】/etc/passwd文件误删处理 |
您所在的位置:网站首页 › 文件不小心删除了怎么恢复 › 【抢救攻略】/etc/passwd文件误删处理 |
1. 问题描述
事情起因: 对某个系统进行安全测试时,测试人员发现了任意文件删除漏洞,于是便删除了 /etc/passwd 以及 /etc/passwd- 两个文件。 导致结果: 网页上的系统仍然在正常运行,但是所有用户均无法通过SSH客户端连接,也就无法进行恢复操作。 2. 解决步骤考虑到搜索这篇文章的你八成也是遇见了类似的问题。那就不说废话,直接上解决步骤: 2.1 如果只删除了 /etc/passwd方法一:你还连接着服务器,可以执行命令 记住,千万不要退出!不要重启! 恭喜你,你这个情况处理起来比较简单。/etc/passwd- 是 /etc/passwd 的备份文件。那么你只需要将 /etc/passwd- 这个引子文件拷贝给 /etc/passwd 即可。 cp /etc/passwd- /etc/passwd方法二:你无法登录系统,也无法执行命令 这个情况下,核心就是首先要先登录到系统里,然后按照第一种情况,从备份文件(/etc/passwd- )恢复。这里需要了解一下【单用户模式】。 对linux不太熟悉的小朋友科普一下,linux 分为多种模式: 0:关机 1:单用户模式 2:无网络支持的多用户模式 3:有网络支持的多用户模式 4:保留,未使用 5:有网络支持有X-Window支持的多用户模式 6:重新引导系统,即重启 正常情况, Linux 系统开机或重启后,能自动引导启动到多用户模式,并提供正常的网络服务。如果系统启动异常或需要进行系统维护时,就可以进入单用户模式对系统进行管理了。 特注:单用户模式,没有开启网络服务,不支持远程连接 进入单用户模式方法不尽相同,以下步骤仅做参考。 step1:重启机器。启动时长按shift键,进入grub菜单。 step2:选中高级项,按 e 进入编辑grub的界面 step3:找到Linux 开头的行(有recovery字样的),然后挪到 ro recovery nomodeset 那里,修改改为 rw single init=/bin/bash step4:按ctrl x 退出,进入单用户模式 step5:按照情况一处理,执行cp /etc/passwd- /etc/passwd, 退出重启 2.2 如果删除了 /etc/passwd ,以及 /etc/passwd-太惨了……不过还有希望…… 可以看一下备份里有没有这些文件,也就是 /var/backups 目录下。 方法三: 在 /var/backups 下有备份文件 step1: 如果你无法执行命令,请先进入参照1进入单用户模式。 step2: 如果你有多个硬盘,而且是单用户模式进来的,别忘了挂载上这些硬盘。 step3: 进入备份目录下,看有没有对应文件。 cd /var/backups lsstep4: 如果你看到了 passwd.bak 。恭喜你,这个就是备份文件,复制过去即可。 cp passwd.bak /etc/passwd cp passwd.bak /etc/passwd-step5: 退出重启。(如果没有备份,就继续往下看吧) 方法四:文件恢复 如果在 /var/backups 下没有找到备份文件,这个情况最为棘手,可以尝试进行下文件恢复试试。 如果你的运维知识不够丰富的话,建议立马停手!不要在进行任何文件的写操作。抓紧找运维老师傅来进行恢复文件。 方法五:无中生有 如果无法进行文件恢复,或者找不到运维老师傅。那找一下有没有一模一样的系统,或者在虚拟机安装一个,直接拷贝过来对应文件! 当然并不是拷贝过来就可以用,因为用户未必一样,所以会有 “水土不服 ” 的问题。改造的话,你得先了解一下,这个文件到底是个什么东西。 这里推荐一篇博客,讲的还挺好的。–> 详解Linux中/etc/passwd文件 如果没有的话,那就自己创建一个吧……反正也就十几行代码,手敲出来就成了。 看完后,你会发现,/etc/passwd 和 /etc/shadow 有着千丝万缕的关系,那么就按照/etc/shadow 来仿写即可。 希望文章可以帮助到你~~ |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |