Si alguien tiene acceso físico a una máquina, la contraseña de root ya no es una protección. Entre las cosas que se pueden hacer (de más simples a más difíciles):
- interrumpe una secuencia de arranque. Algunos sistemas abren directamente un shell con una cuenta raíz sin pedir una contraseña para permitir que el operador intente recuperarse manualmente después de un desastre importante (pérdida de archivo de contraseña, / bin / bash, red ...)
- inicie la máquina desde un medio extraíble (DVD o dispositivo USB) que contenga un sistema compatible con el disco, luego monte el disco (lea solo si no desea dejar huellas y no tiene nada que cambiar).
- quite el disco de la máquina y móntelo en otro sistema que tenga controladores para él.
Cualquiera de estos métodos permite cambiar el archivo de contraseña, por ejemplo, agregando una nueva cuenta de administrador (UID = 0 en Unix-Linux)
Como lo dijo @DKNUCKLES en el comentario, cualquiera de los métodos anteriores se puede usar en un servidor físico, pero suponen un reinicio. Si solo tiene una VM, cualquiera de ellas se puede utilizar con una copia de seguridad (o una instantánea) de la VM, que no se puede detectar en absoluto en la VM en ejecución.