今天在做用戶添加操作時,

#useradd test

useradd: cannot open shadow password file

剛開始懷疑是/etc/shadow文件權(quán)限被誤修改,查看/etc/passwd,/etc/shadow屬性

[root@mango root]# ls -rlt /etc/passwd

-rw-r--r-- 1 root root 1726 4月 20 17:43 /etc/passwd

[root@mango root]# ls -rlt /etc/shadow

-r-------- 1 root root 1262 4月 20 17:43 /etc/shadow

正常可添加用戶的屬性如下,沒什么區(qū)別.

ls -rlt /etc/passwd

-rw-r--r-- 1 root root 1831 2005-05-09 /etc/passwd

[guest@www5 guest]$ ls -rlt /etc/shadow

-r-------- 1 root root 1294 2005-05-09 /etc/shadow

嘗試將出問題主機(jī)的/etc/shadow改成600,結(jié)果報(bào)錯,不讓修改!

[root@mango root]# chmod 600 /etc/shadow

can not modify

問了下安全專員,才知道是做了安全加固,用lsattr和chsttr改變一下屬性就可以了!

[root@toddy root]#lsattr /etc/shadow

----i-------- /etc/shadow

[root@toddy root]# chattr -i /etc/shadow

[root@toddy root]# useradd ywg

[root@toddy root]# lsattr /etc/passwd

關(guān)于chattr 命令使用詳解http://linux.chinaitlab.com/command/38018.html

chattr　

1.作用

修改ext2和ext3文件系統(tǒng)屬性(attribute)，使用權(quán)限超級用戶。

2.格式　　

chattr [-RV] [-+=AacDdijsSu] [-v version] 文件或目錄 　　

3.主要參數(shù)

－R：遞歸處理所有的文件及子目錄。

－V：詳細(xì)顯示修改內(nèi)容，并打印輸出。

－：失效屬性。

＋：激活屬性。

= ：指定屬性。

A：Atime，告訴系統(tǒng)不要修改對這個文件的最后訪問時間。

S：Sync，一旦應(yīng)用程序?qū)@個文件執(zhí)行了寫操作，使系統(tǒng)立刻把修改的結(jié)果寫到磁盤。　　

a：Append Only，系統(tǒng)只允許在這個文件之后追加數(shù)據(jù)，不允許任何進(jìn)程覆蓋或截?cái)噙@個文件。如果目錄具有這個屬性，系統(tǒng)將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。

i：Immutable，系統(tǒng)不允許對這個文件進(jìn)行任何的修改。如果目錄具有這個屬性，那么任何的進(jìn)程只能修改目錄之下的文件，不允許建立和刪除文件。

D：檢查壓縮文件中的錯誤。 　

d：No dump，在進(jìn)行文件系統(tǒng)備份時，dump程序?qū)⒑雎赃@個文件。 　

C：Compress，系統(tǒng)以透明的方式壓縮這個文件。從這個文件讀取時，返回的是解壓之后的數(shù)據(jù)；而向這個文件中寫入數(shù)據(jù)時，數(shù)據(jù)首先被壓縮之后才寫入磁盤。 　

：Secure Delete，讓系統(tǒng)在刪除這個文件時，使用0填充文件所在的區(qū)域。

u：Undelete，當(dāng)一個應(yīng)用程序請求刪除這個文件，系統(tǒng)會保留其數(shù)據(jù)塊以便以后能夠恢復(fù)刪除這個文件。

4.說明　

chattr 命令的作用很大，其中一些功能是由Linux內(nèi)核版本來支持的，如果Linux內(nèi)核版本低于2.2，那么許多功能不能實(shí)現(xiàn)。同樣－D檢查壓縮文件中的錯誤的功能，需要2.5.19以上內(nèi)核才能支持。另外，通過chattr命令修改屬性能夠提高系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能保護(hù)/、/dev、/tmp、/var目錄。

chattr

http://www.linuxmine.com/2452.html

chattr可以防止關(guān)鍵文件被修改

在linux下，有些配置文件是不允許任何人包括root修改的，為了防止被誤刪除或修改，

可以設(shè)定該文件的"不可修改位(immutable)"。

例如：

chattr +i /etc/fstab

如果需要修改文件則：

chattr -i /etc/fstab

以后再修改文件。