Перечисленные ниже файлы являются логичными мишенями для атаки. Режимы доступа к этим файлам должны быть правильно установлены и их следует периодически проверять.
/etc/passwd
Право записи в файл /etc/passwd должен иметь только пользователь root. Если не используется файл теневых паролей, то шифрованные пароли будут доступны на чтение всем пользователем, делая систему более уязвимой к перебору паролей по словарю.
/etc/shadow
Если файл теневых паролей существует, он должен быть доступен на чтение только пользователю root.
/etc/group
Файл групп следует проверять на предмет изменения состава групп.
/etc/securetty
В Linux-системах файл /etc/securetty содержит список терминалов, с которых разрешен доступ в систему для пользователя root. Взломщик может попытаться изменить этот список.
SULOG
Переменная SUL0G устанавливается в файле /etc/default/su и определяет путь к файлу журнала, в котором регистрируются все попытки использования команды su. По умолчанию используется /var/adm/sulog.
Статьи по теме