一般我们我的服务器遭受木马,上来基本上是要提权的,建立账号和自启软件等,所有我们要锁定关键系统文件,必须对账号密码文件及启动文件加锁,防止提权被篡改。
/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
/etc/inittab
……….
对以上文件加锁:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
对以上文件解锁:
chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
同时我们可以把chattr给挪走,即使入侵者上来了,也无法解锁。
[root@bqh-01 cs]# userdel text1
[root@bqh-01 cs]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/initta
b[root@bqh-01 cs]# userdel text1
userdel: user 'text1' does not exist
[root@bqh-01 cs]# which chattr
/usr/bin/chattr
[root@bqh-01 cs]# mv `which chattr` /root/cs
[root@bqh-01 cs]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/initta
b-bash: /usr/bin/chattr: 没有那个文件或目录
[root@bqh-01 cs]#