鎖定/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,鎖定關鍵的系統文件可以防止服務器提權后被篡改
1、對關鍵文件進行加鎖,任何用戶都不能對這些文件進行修改和刪除,包括root用戶,除非解鎖后才可修改
chattr +i 文件名
比如chattr +i /etc/shadow
2、解鎖
chattr -i 文件名
3、查看加鎖狀態,顯示了i就表示加鎖
lsattr 文件名
4、查看linux賬號鎖定情況:
文件中字段主要含義為:登錄名:加密口令:最后一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標志
- “登錄名”是與/etc/passwd文件中的登錄名相一致的用戶賬號
-
“口令”字段存放的是加密后的用戶口令字:
- 如果為空,則對應用戶沒有口令,登錄時不需要口令;
- 星號代表帳號被鎖定;
- 雙嘆號表示這個密碼已經過期了;
$6$開頭的,表明是用SHA-512加密;$1$表明是用MD5加密;$2$是用Blowfish加密;$5$是用 SHA-256加密;