锁定/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab,锁定关键的系统文件可以防止服务器提权后被篡改
1、对关键文件进行加锁,任何用户都不能对这些文件进行修改和删除,包括root用户,除非解锁后才可修改
chattr +i 文件名
比如chattr +i /etc/shadow
2、解锁
chattr -i 文件名
3、查看加锁状态,显示了就表示加锁
lsattr 文件名
4、查看linux账号锁定情况:
文件中字段主要含义为:登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志
- “登录名”是与/etc/passwd文件中的登录名相一致的用户账号
-
“口令”字段存放的是加密后的用户口令字:
- 如果为空,则对应用户没有口令,登录时不需要口令;
- 星号代表帐号被锁定;
- 双叹号表示这个密码已经过期了;
$6$开头的,表明是用SHA-512加密;$1$表明是用MD5加密;$2$是用Blowfish加密;$5$是用 SHA-256加密;