Ubuntu密码恢复实战：从GRUB到Live USB的完整解决方案

1. 项目概述：当Ubuntu的钥匙丢了之后

作为一名常年与各种Linux发行版打交道的工程师，无论是调试嵌入式系统、搭建开发环境，还是维护服务器，Ubuntu都是绕不开的“工作台”。但越是熟悉的东西，越容易在某个不经意的时刻给你“惊喜”——比如，在一个需要紧急调试的深夜，你发现自己无论如何也想不起那个用了好几年的登录密码。这感觉，就像你明明知道工具箱就在眼前，却找不到开锁的钥匙。更棘手的是，如果这台机器是团队共用的开发机，或者里面存有尚未提交的关键代码和项目配置，直接重装系统带来的时间成本和数据风险是难以承受的。

本文要解决的，就是这个在工程师群体中并不罕见，却又让人有点尴尬的“小麻烦”：Ubuntu忘记密码后的恢复与破解。请注意，这里的“破解”并非指攻击他人系统，而是特指在合法拥有设备所有权的前提下，通过技术手段恢复对系统的访问权限。整个过程的核心逻辑，是绕过正常的用户认证机制，直接获取最高权限（root），然后重置密码。这不仅是桌面用户的救急技巧，对于从事嵌入式开发、物联网设备维护的工程师来说，当目标设备（如基于Ubuntu Core的工控机、边缘计算盒子）因配置错误或人员变动而锁死时，这套方法同样适用。

我们将从最经典的GRUB恢复模式入手，逐步深入到使用Live CD/USB等更通用的救援方案，并详细拆解每一步背后的原理、可能遇到的坑以及对应的排查技巧。无论你是软件开发者、硬件工程师还是系统管理员，掌握这套“自救”流程，都能在关键时刻为你省下大量时间，避免不必要的损失。

2. 核心思路与方案选型：为什么是GRUB和Live介质？

当Ubuntu系统因为密码遗忘而将你拒之门外时，你面对的是一个完整的、正在运行或等待运行的操作系统。系统设计者为了安全，将用户认证模块（如PAM）置于登录流程的核心。我们的目标不是去暴力破解这个加密模块（那几乎不可能），而是“绕开”它。这就好比一栋大楼的正门锁死了，我们不是去撬锁，而是去找是否有管理员通道、通风管道或者未上锁的窗户。

2.1 方案一：利用GRUB引导菜单（最快捷）

这是首选方案，前提是你的系统引导程序GRUB没有设置密码保护。GRUB在启动时加载内核和初始化内存盘（initrd），并传递启动参数给内核。默认情况下，Ubuntu的GRUB菜单中有一个“Advanced options for Ubuntu”子菜单，里面包含了各个内核版本的“恢复模式（recovery mode）”选项。

其工作原理是：选择恢复模式启动后，内核会以一个特殊的“运行级别”或通过init=/bin/bash之类的参数启动，直接将你丢到一个root shell中，而跳过了所有需要密码认证的服务（如登录管理器gdm、lightdm或网络管理器）。此时，你所在的文件系统通常是以只读（ro）模式挂载的，因为系统处于一个最小化的恢复环境。你需要手动将其重新挂载为读写（rw）模式，然后才能修改密码文件（/etc/shadow）。

这个方案的优点是：无需任何外部工具，只要你能物理接触机器并操作启动过程，几分钟内就能解决问题。其局限性也很明显：第一，如果GRUB菜单被隐藏且快速启动开启，你可能需要熟练地敲击Esc键；第二，如果系统管理员出于安全考虑为GRUB设置了密码，此路不通；第三，对于某些深度定制的系统或文件系统严重损坏的情况，恢复模式可能无法正常启动。

2.2 方案二：使用Ubuntu安装盘或Live USB（最通用）

这是一个更强大、更通用的方案。你只需要一个Ubuntu的安装U盘或光盘（任何版本，能与目标系统架构匹配即可）。用这个Live介质启动电脑，你就进入了一个完整的、运行在内存中的Ubuntu系统。在这个环境里，你可以访问到本地硬盘上原有的Ubuntu系统分区。

其核心原理是：Linux系统在运行时，会将硬盘分区挂载到目录树的某个位置（如/，/home）。当另一个系统（Live系统）启动后，它可以将原系统的分区挂载到自己目录树下的一个临时位置（如/mnt）。由于Live系统拥有root权限，它就可以直接读写原系统分区上的所有文件，包括至关重要的/etc/shadow（存储加密密码哈希）和/etc/passwd文件。修改这些文件，就等同于修改了原系统的用户密码。

这个方案的普适性极高：它不依赖于原系统的GRUB配置，即使原系统内核损坏、引导丢失，只要硬盘没坏，就能抢救。它也是处理加密硬盘（LUKS）时必不可少的步骤（需要先解密再挂载）。对于工程师来说，手边常备一个集成了各种工具的Live USB（如SystemRescueCd, GParted Live），本身就是一种良好的工作习惯。

注意：无论使用哪种方法，你都必须拥有该计算机的物理访问权限。从远程无法完成此操作。同时，请务必确保你是在对自己拥有合法所有权的设备进行操作，未经授权破解他人系统密码是违法行为。

3. 实操详解：从GRUB恢复模式到密码重置

理论清晰后，我们进入实战环节。我将以最常见的场景为例，展示两种方案的标准操作流程，并穿插讲解每个步骤的意图和注意事项。

3.1 方案一实操：通过GRUB恢复模式重置密码

步骤1：中断启动过程，进入GRUB菜单启动或重启电脑。在主板Logo（或黑屏）出现后，立即持续按下Esc键（部分电脑可能是Shift键）。目的是阻止GRUB的自动引导，让菜单显示出来。如果屏幕一闪而过直接进入系统，可能是GRUB等待时间设置为0或启用了“安静启动”，你需要更精准地 timing，或者在UEFI/BIOS设置中临时关闭“快速启动”。

步骤2：选择恢复模式内核在GRUB菜单中，使用上下方向键选择“Advanced options for Ubuntu”，回车进入。然后你会看到一个列表，显示了所有已安装的内核版本，每个版本通常对应两个条目：普通启动和恢复模式。选择带有“（recovery mode）”字样的那一项，回车启动。

步骤3：获取Root Shell并重新挂载文件系统系统会启动到一个恢复菜单界面（蓝底白字）。在这个菜单中，选择“root- Drop to root shell prompt”，回车。这时，你会看到一个以root身份登录的命令行提示符（通常是root@(hostname):~#）。

关键的一步来了：默认情况下，根文件系统（/）是以只读（read-only）模式挂载的，这是为了防止在恢复环境中误操作破坏系统。你需要将其改为读写（read-write）模式。

mount -o remount,rw /

执行这条命令后，如果没有报错，就表示根分区已经可以写入了。你可以用mount | grep ‘on / ’来确认，输出中应包含rw字样。

步骤4：重置用户密码现在，你可以为任何用户重置密码。假设你要重置的用户名是leo（请替换为你的实际用户名）：

passwd leo

系统会提示你“Enter new UNIX password:”，输入新密码（屏幕上不会显示星号，这是正常的），回车。然后提示“Retype new UNIX password:”，再次输入相同密码并回车。如果看到“passwd: password updated successfully”的提示，就表示成功了。

如果你想顺便启用root用户（Ubuntu默认禁用）并设置其密码，可以执行：

passwd root

同样按照提示输入两次密码即可。

步骤5：重启系统密码修改完成后，建议同步一下文件系统，然后重启。

sync reboot -f

sync命令确保所有缓存中的数据写入磁盘。reboot -f是强制重启。电脑重启后，你就可以用刚设置的新密码登录了。

3.2 方案二实操：使用Live USB“外挂”修改密码

当GRUB方法失效时，Live USB是你的终极武器。

步骤1：制作与启动Live USB你需要另一台能上网的电脑，从Ubuntu官网下载ISO镜像文件，并使用工具如Rufus（Windows）、balenaEtcher（跨平台）或dd命令（Linux/Mac）将其写入U盘，制作成可启动的安装盘。将U盘插入目标电脑，在启动时按F12、F2、Del等键（因主板而异）进入启动菜单（Boot Menu），选择从U盘启动。

步骤2：进入“试用Ubuntu”模式并打开终端Live介质启动后，你会看到安装界面。切记不要点击“安装Ubuntu”。而是选择“Try Ubuntu without installing”。系统会加载一个完整的桌面环境。进入桌面后，按Ctrl+Alt+T打开终端。

步骤3：识别原系统分区这是最关键且容易出错的一步。你需要找到原Ubuntu系统安装在哪个分区上。使用lsblk或sudo fdisk -l命令查看所有磁盘和分区。

sudo fdisk -l

输出会列出类似/dev/sda1,/dev/sda2,/dev/nvme0n1p2这样的设备名。你需要根据分区大小、类型（Linux filesystem）和之前的记忆来判断哪个是系统的根分区（/）。通常，一个标准的Ubuntu安装会有一个较小的ESP分区（EFI系统分区，FAT32格式，几百MB），一个交换分区（swap），和一个较大的根分区（ext4格式）。你的目标就是那个最大的ext4分区。

步骤4：挂载原系统分区并Chroot假设你确认原系统根分区是/dev/sda2。

1. 创建一个挂载点并挂载：

   sudo mkdir /mnt/ubuntu sudo mount /dev/sda2 /mnt/ubuntu

2. 如果原系统使用了单独的/boot或/home分区，也需要分别挂载到/mnt/ubuntu/boot和/mnt/ubuntu/home下。对于大多数情况，只挂载根分区即可。
3. 为了确保后续修改密码时使用的库文件与原系统一致，我们需要使用chroot（change root）命令，将当前进程的根目录切换到/mnt/ubuntu。但在此之前，需要挂载一些关键的虚拟文件系统：

   sudo mount --bind /dev /mnt/ubuntu/dev sudo mount --bind /proc /mnt/ubuntu/proc sudo mount --bind /sys /mnt/ubuntu/sys

4. 执行chroot：

   sudo chroot /mnt/ubuntu

   执行成功后，你的命令行提示符可能会变化，此时你的操作环境就“变成”了原系统。

步骤5：在Chroot环境中重置密码现在，你可以像在原系统里一样，使用passwd命令修改密码了。

passwd 用户名

同样，输入两次新密码。你也可以在这里启用root用户。

步骤6：退出、卸载并重启

1. 修改完成后，输入exit退出chroot环境。
2. 卸载所有挂载的资源（顺序很重要）：

   sudo umount /mnt/ubuntu/dev sudo umount /mnt/ubuntu/proc sudo umount /mnt/ubuntu/sys sudo umount /mnt/ubuntu

3. 关闭Live系统，拔出U盘，然后重启电脑：

   sudo reboot

电脑将从硬盘启动，此时你就可以用新密码登录原系统了。

4. 深度解析：密码存储机制与修改的本质

作为一名工程师，我们不能只满足于“怎么做”，更要理解“为什么能这么做”。这能帮助我们在更复杂的情况下（比如加密磁盘、非标准安装）举一反三。

4.1 Linux密码存储机制：/etc/shadow文件

现代Linux系统将用户密码以加密哈希值的形式存储在/etc/shadow文件中，而非早年的/etc/passwd。这是一个只有root用户可读的敏感文件。一行记录可能长这样：

leo:$y$j9T$8rBzH/...省略很长哈希值...$QjW.NZ2u...更多哈希值...:19677:0:99999:7:::

各部分由冒号分隔，其中第一个字段是用户名，第二个字段就是密码哈希值。passwd命令的本质，就是由root权限调用一个名为chpasswd或usermod的底层工具，使用强大的加密算法（如SHA-512，对应$6$或$y$开头的标识符）将你输入的明文密码转化为这个哈希值，然后写入/etc/shadow文件。

当我们通过GRUB恢复模式或Live USB获得root权限后，我们运行的passwd命令，其效果与在正常登录的系统中用sudo passwd完全一样，都是直接修改这个/etc/shadow文件。系统在下次认证时，会将你输入的密码用相同算法哈希，然后与文件中存储的哈希值比对，一致则通过。

4.2 Chroot环境的意义：保持环境一致性

在Live USB方案中，为什么要大费周章地使用chroot，而不是直接在Live系统里用sudo nano /mnt/ubuntu/etc/shadow去编辑文件呢？

理论上，直接编辑shadow文件是可行的，但极其容易出错。shadow文件的格式非常严格，一个多余的空格或冒号都会导致系统无法解析。而passwd命令是一个封装好的安全工具，它会处理所有细节：提示输入、验证强度（如果配置了）、生成哈希、安全地写入文件。

更重要的是，chroot确保了passwd命令运行时所依赖的所有动态链接库（/lib,/lib64）、配置文件（/etc/pam.d/passwd等）都来自原系统，而不是Live系统。这避免了因库版本或PAM配置不同而导致的意外错误。这是一种“在外部搭建一个与原系统一致的操作环境”的经典方法，在系统修复中应用广泛。

5. 进阶场景、常见问题与排查实录

在实际操作中，你可能会遇到各种“非标准”情况。下面是我在多年运维和帮同事解决问题中积累的一些典型场景和应对策略。

5.1 场景一：GRUB菜单被跳过或设置了密码

• 问题：电脑启动太快，根本看不到GRUB菜单。
• 排查与解决：
  1. 检查UEFI/BIOS设置：进入主板设置，关闭“Fast Boot”（快速启动）或“Quick Boot”选项。这能确保GRUB有足够时间接收按键中断。
  2. 修改GRUB配置（需提前准备）：如果你能预见风险，可以在还能登录系统时，编辑/etc/default/grub文件，将GRUB_TIMEOUT_STYLE=hidden改为GRUB_TIMEOUT_STYLE=menu，并将GRUB_TIMEOUT的值设为比如5（秒）。然后运行sudo update-grub。这样GRUB菜单就会持续显示5秒。
  3. 终极方案：如果上述无效，或者GRUB本身设置了密码，那么方案一基本失效，请直接采用方案二（Live USB）。

5.2 场景二：使用全盘加密（LUKS）的Ubuntu系统

• 问题：硬盘被加密，Live系统无法直接读取分区内容。
• 解决步骤：
  1. 从Live USB启动，打开终端。
  2. 使用lsblk查看加密分区（通常类型显示为crypto_LUKS）。
  3. 使用cryptsetup luksOpen命令打开加密容器：

     sudo cryptsetup luksOpen /dev/nvme0n1p3 crypt_root # 假设加密分区是nvme0n1p3，映射名称为crypt_root

     系统会提示你输入磁盘加密的密码（注意，这是磁盘加密密码，不是用户登录密码）。
  4. 打开后，会在/dev/mapper/下出现一个名为crypt_root的设备节点。这个节点对应的就是解密后的数据。
  5. 此时，再按照方案二的步骤，挂载这个/dev/mapper/crypt_root设备到/mnt/ubuntu，然后进行chroot和密码修改操作。
  6. 操作完成后，记得关闭加密容器：sudo cryptsetup luksClose crypt_root。

5.3 场景三：修改密码时提示“Authentication token manipulation error”

• 问题：在恢复模式或chroot环境中执行passwd命令时，报此错误。
• 原因与排查：
  1. 文件系统只读（最常见）：在恢复模式下，你没有执行mount -o remount,rw /。用mount命令检查根分区的挂载属性。
  2. 磁盘错误或空间已满：系统无法写入shadow文件。可以尝试运行df -h查看磁盘使用情况，或用touch /testfile测试是否能创建文件。
  3. PAM配置问题（在chroot中较常见）：如果Live系统与原系统的PAM模块版本差异太大，可能导致passwd命令工作异常。此时可以尝试直接编辑shadow文件（需谨慎）：

     sudo cp /etc/shadow /etc/shadow.backup # 先备份！ sudo nano /etc/shadow

     找到对应用户行，将第二个字段（密码哈希）直接替换为一个已知哈希。例如，将其替换为*（星号）表示禁用密码，或替换为一个预先用mkpasswd或openssl passwd生成的哈希。此方法风险高，不推荐新手操作。

5.4 场景四：为SSH密钥登录的服务器重置密码

• 场景：一台云端Ubuntu服务器，你一直用SSH密钥登录，从未设过密码或密码已忘，现在需要密码进行sudo操作或应急控制台登录。
• 解决：大部分云服务商（如AWS EC2, Google Cloud, Azure, 阿里云，腾讯云）都提供了“重置密码”或“连接串行控制台”的功能。你通常需要：
  1. 在云控制台停止实例（部分厂商支持热重置）。
  2. 找到“重置密码”或“修改密码”选项，并按照指引操作。这本质上是云厂商在后台帮你执行了一次类似Live USB挂载修改shadow文件的操作。
  3. 重启实例，使用新密码通过VNC/串行控制台或配置了密码的SSH登录。
  • 重要提示：此操作会重启或停止实例，请务必在业务低峰期进行，并确认云厂商的具体操作流程。

6. 安全加固与防范建议

俗话说，亡羊补牢，为时未晚。在成功“救回”系统后，我们更应该思考如何避免重蹈覆辙，并提升系统的整体安全性。

6.1 密码管理策略

1. 使用密码管理器：像Bitwarden、KeePassXC这样的开源密码管理器，可以为你生成并存储高强度、唯一的密码。你只需要记住一个主密码即可。
2. 启用SSH密钥认证，禁用密码登录：对于服务器，这是最佳实践。在/etc/ssh/sshd_config中设置PasswordAuthentication no和PubkeyAuthentication yes。将公钥添加到~/.ssh/authorized_keys文件中。
3. 设置sudo免密码（谨慎使用）：对于个人开发机，如果觉得每次sudo都输密码麻烦，可以将当前用户添加到sudo组，并编辑/etc/sudoers文件（使用visudo命令），添加一行：你的用户名 ALL=(ALL) NOPASSWD: ALL。注意：这会降低安全性，请仅在可信的私人环境中考虑。

6.2 系统引导安全加固

1. 为GRUB设置密码：这可以有效防止他人通过恢复模式随意修改你的密码。编辑/etc/grub.d/40_custom文件，添加set superusers=”root”和password root 你的GRUB密码（或用password_pbkdf2生成加密密码）。然后运行sudo update-grub。设置后，在GRUB菜单界面按e编辑启动项或进入恢复模式时，都需要先按p输入密码。
2. 启用全盘加密（LUKS）：在安装Ubuntu时选择“加密整个磁盘”。这样即使硬盘被物理拆走，没有密码也无法读取数据。这是保护笔记本等移动设备数据的终极手段。
3. 设置BIOS/UEFI密码：防止他人从外部介质（如Live USB）启动。但这把钥匙如果丢了，自己也会很麻烦，务必牢记。

6.3 建立系统恢复应急方案

1. 制作系统恢复盘：不仅仅是一个Ubuntu安装盘，可以准备一个功能更全的Live USB，如SystemRescueCd或GParted Live，它们集成了海量的硬盘修复、数据恢复和网络工具。
2. 记录关键信息：将重要的分区表信息（sudo fdisk -l的输出）、网络配置、加密容器的UUID等，安全地记录在密码管理器或离线笔记中。
3. 定期备份：使用rsync,BorgBackup,Timeshift等工具定期备份系统和重要数据。当所有方法都失效时，一份可靠的备份是最后的救命稻草。记住，能让你安心入睡的不是复杂的密码，而是随时可恢复的备份。

经过以上从原理到实践，从基础到进阶的梳理，相信你已经对Ubuntu密码恢复这件事有了透彻的理解。这套方法的价值不仅在于解决“忘记密码”这一具体问题，更在于它揭示了Linux系统引导、权限管理和文件系统的内在联系。掌握它，意味着你在面对更复杂的系统故障时，拥有了一个清晰的问题定位和解决思路框架。技术之路，就是在不断解决一个又一个具体问题的过程中，积累起对复杂系统的掌控力。