Защита файла паролей
Единственный абсолютно надежный способ это замена на *
максимально возможного количества паролей и использование ssh или Kerberos для доступа к таким учетным записям. Хотя файл с шифрованными паролями (/etc/spwd.db) доступен для чтения только root, возможно, что нарушитель сможет получить доступ на чтение к этому файлу, даже если не получит права root на запись.
Ваши скрипты безопасности должны всегда проверять и составлять отчет об изменениях файла паролей (обратитесь к разделу Проверка целостности файлов ниже по тексту).