如题,上个月安全厂商来执行基线扫描后给我们出具了一个检查报告,整改建议中有一条建议我们执行chattr +i /etc/passwd
命令锁定密码文件以防止密码被修改,昨天登陆时发现密码已过期要求更改密码,但输入新旧密码后报错Authentication token manipulation error ,查了下报错原因就是
/etc/passwd`被锁导致的。
我们的服务器是生产服务器,并且是一个集群十几台虚拟机,现在的问题是除了重启进入救援模式修改 root 密码以外,还有什么不用重启的方法进入系统/解开文件修改限制吗?
1
xcai 2023-07-18 15:12:18 +08:00
/etc/passwd 也不是密码文件啊,更改密码信息会涉及到对 /etc/passwd 的更改?
|
2
AoEiuV020JP 2023-07-18 15:17:11 +08:00
确实不对劲,我刚试了一下,改密码只会修改 shadow 文件,不会改 passwd 的,
|
3
AoEiuV020JP 2023-07-18 15:19:23 +08:00
正常登录服务器不就只有密码和密钥两种,
现在密码行不通了就看看有没有密钥, 没有的话就看看有没有 webshell 之类的后门? |
4
oneisall8955 2023-07-18 15:24:19 +08:00
那问问安全厂商
|
6
qq1147 OP @AoEiuV020JP 不好意思我没说清楚,有四个相关文件:gshadow 、shadow 、group 、passwd 都加了禁止修改
|
7
szlayer 2023-07-18 17:55:10 +08:00
能登录系统的话就去掉限制 chattr -i /etc/passwd
|
8
liantian 2023-07-18 18:16:36 +08:00 via iPhone
那个安全厂商…
避坑避坑 处理办法,就没有非 root 可以 sudo 的用户了么… |