linux安全加固-锁定关键系统文件，防止提权篡改

要锁定关键系统文件，必须对账号密码文件及启动文件加锁，防止被篡改。

chattr与lsattr

chattr命令可以锁定文件。

通过chattr命令修改属性能够提高系统的安全性，但是它并不适合所有的目录。

chattr命令不能保护/、/dev、/tmp、/var目录。

lsattr命令是显示chattr命令设置的文件属性。

chattr

chattr [ -RVf ] [ -v version ] [ mode ] files…

[mode]由+-=和[ASacDdIijsTtu]这些字符组合的，这部分是用来控制文件的。

+：在原有参数设定基础上，追加参数。

– ：在原有参数设定基础上，移除参数。

= ：更新为指定参数设定。

i：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

上锁与解锁

要锁定关键系统文件，必须对账号密码文件及启动文件加锁，防止被篡改。

/etc/passwd 账号文件

/etc/shadow 密码文件

/etc/group 账号所在的组

/etc/gshadow 组的密码

/etc/inittab 开机后的一个自启动文件

上锁：
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
查看
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
           

上锁后，用户不能对文件修改删除。

上锁后，如需临时操作，可以解锁后对文件进行修改，之后再上锁。

想要更安全，可以把chattr改名转移，防止被黑客利用。

mv `which chattr` /usr/bin/unlock