Восстановление пароля пользователя через SSH

Если штатное восстановление пароля через форму входа в панель BeAdmin недоступно, пароль любого пользователя можно сбросить из консоли сервера. Команда recover-password сгенерирует временный пароль для указанного пользователя — после входа этот пароль нужно будет сразу заменить на постоянный.

Когда использовать

Сбрасывайте пароль через терминал, только если выполнены все три условия одновременно:

• Восстановление пароля через форму входа недоступно: либо в панели нет кнопки сброса (не настроен SMTP-релей), либо письма со ссылкой на сброс не доходят.
• В панели нет других администраторов, которые могли бы сбросить пароль через интерфейс — обратиться за восстановлением не к кому.
• У вас есть SSH-доступ к серверу с установленным BeAdmin — под root или пользователем с правами sudo.

Если хотя бы одно из условий не выполняется — используйте штатные способы. Сброс через терминал нужен как крайняя мера.

Шаг 1. Подключитесь к серверу по SSH

Подключитесь к серверу под root или пользователем с правами sudo:

ssh root@ip_адрес_вашего_сервера

Если вы заходите под обычным пользователем с правами sudo, переключитесь на root:

sudo -i

Если с SSH-подключением возникают сложности — см. отдельную статью Как подключиться к серверу по SSH?.

Шаг 2. Запустите команду восстановления

Выполните в терминале сервера:

beadmin -config /etc/beadmin/beadmin.conf recover-password -user admin@local.host

Параметры команды:

• -config /etc/beadmin/beadmin.conf — путь к конфигурационному файлу панели. По умолчанию это /etc/beadmin/beadmin.conf; менять нужно, только если при установке BeAdmin вы указали свой путь.
• -user admin@local.host — электронная почта пользователя, доступ которому нужно восстановить. Подставьте сюда тот адрес, под которым он входит в панель.

⚠️ Флаг -user обязателен

Если запустить beadmin … recover-password без -user, команда не покажет подсказку и не сбросит пароль — вместо этого панель просто перезапустится в обычном режиме, без смены пароля. Всегда указывайте -user явно.

💡 Совет

Если вы не помните электронную почту пользователя, проверьте, какие адреса указывались при установке или при добавлении пользователей в панель. По умолчанию это admin@local.host, но адрес мог быть переопределён в интерактивном или неинтерактивном режиме установки.

Шаг 3. Сохраните временный пароль

Если всё сделано правильно, в терминале появится временный пароль:

A new one-time password has been created successfully.
Use the temporary credentials below to access the BeAdmin web interface:

  User: admin@local.host
  Password: WhdqCiWLIKps

This one-time password is valid for about 10 minutes.

After signing in, navigate to Settings and update your password to a permanent one.
Your original password will remain valid until you authenticate using the provided one-time password.

Скопируйте значение из строки Password — оно понадобится на следующем шаге.

⚠️ Как работает временный пароль

• Временный пароль действует около 10 минут с момента создания.
• До первого входа с временным паролем старый пароль продолжает работать — временный добавляется к нему, а не заменяет.
• При первом успешном входе с временным паролем он становится основным, а старый пароль затирается. После этого откройте раздел профиля и установите новый постоянный пароль вручную — сама панель сделать это не предложит.
• Если за 10 минут вы не успели войти — просто запустите recover-password ещё раз и получите новый временный пароль.

Шаг 4. Войдите в панель и смените пароль

1. Откройте панель BeAdmin в браузере (https://ваш_домен:8080 или https://ip_сервера:8080).
2. Введите электронную почту пользователя и временный пароль из вывода команды.
3. Сразу после входа откройте раздел профиля и установите новый постоянный пароль.

⚠️ Важно

Временный пароль предназначен только для разового входа. Не оставляйте его как рабочий — обязательно смените его сразу после входа в панель.

Безопасность

• Не оставляйте временный пароль в истории команд. После использования удалите соответствующую строку из файла истории shell (~/.bash_history или ~/.zsh_history) либо очистите вывод терминала.
• Не пересылайте временный пароль через незащищённые каналы. Если пароль нужно передать другому пользователю — используйте защищённый канал и попросите сменить пароль сразу после входа.
• Доступ к команде = полный доступ к панели. Любой, у кого есть root или sudo на сервере, может сбросить пароль любого пользователя BeAdmin — независимо от его роли. Ограничивайте SSH-доступ к серверу.
• В журналах панели запуск команды не фиксируется. Факт выполнения recover-password нигде в BeAdmin не отображается — следы остаются только на уровне сервера (история shell, логи sshd). Поэтому единственный реальный контроль над сбросом пароля — это список тех, у кого есть SSH-доступ к серверу.

Возможные ошибки

Failed to recover password for user <email>: unknown user

Пользователя с таким адресом в панели нет либо в команде опечатка. Сверьте адрес с тем, под которым пользователь зарегистрирован в BeAdmin: он должен совпадать полностью, символ в символ.

No such file or directory для конфигурационного файла

Указанный в -config путь не существует. Проверьте, на месте ли стандартный конфиг:

ls -l /etc/beadmin/beadmin.conf

Если файл расположен в другом месте, передайте правильный путь в параметре -config.

Permission denied

Команде нужны права на чтение конфигурационного файла и доступ к базе данных панели. Запускайте её под root или через sudo.

Что дальше

• Чтобы в будущем восстановление было доступно через форму входа без SSH — настройте SMTP-релей. После этого ссылка на сброс пароля будет приходить на электронную почту.
• Если SSH-доступ к серверу и пароль администратора потеряны одновременно — обратитесь в техническую поддержку или к своему хостинг-провайдеру за помощью с возвратом доступа к серверу.