1、安全操作系統(tǒng)中國科學技術(shù)大學計算機系陳香蘭（051287161312）xlanchen助教：裴建國Autumn 2008第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制概述什么是操作系統(tǒng)？操作系統(tǒng)的基本功能有哪些？從安全的角度上看，操作系統(tǒng)應當提供哪些安全服務？內(nèi)存保護文件保護普通實體保護存取鑒別等操作系統(tǒng)安全的主要目標操作系統(tǒng)安全的主要目標按系統(tǒng)安全策略對用戶的操作進行訪問控制，

2、防止用戶對計算機資源的非法使用包括竊取、篡改和破壞標識系統(tǒng)中的用戶，并對身份進行鑒別監(jiān)督系統(tǒng)運行的安全性保證系統(tǒng)自身的安全性和完整性安全機制的定義ISO：是一種技術(shù)、一些軟件或?qū)嵤┮粋€或更多安全服務的過程特殊的安全機制普遍的安全機制普遍的安全機制信任的功能性事件檢測審計跟蹤安全恢復第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.1 .1標識與鑒別機制標識：用戶要向系統(tǒng)表明的身份用戶名、登錄ID、身份證號或智能卡應當具有唯一性不能被偽造鑒別，對用戶所宣稱的身份標識的有效性進行校驗和測試的過程用戶聲明自己身份的

3、4種方法證實自己所知道的例如密碼、身份證號碼、最喜歡的歌手、最愛的人的名字等等出示自己所擁有的例如智能卡證明自己是誰例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等等表現(xiàn)自己的動作例如簽名、鍵入密碼的速度與力量、語速等等2.1.2 密碼口令機制是身份鑒別中最常用的手段口令機制簡單易行，但很脆弱容易記憶的內(nèi)容，很容易被猜到姓名、生日、身份證號難以記憶的內(nèi)容，用戶使用不方便，常常記錄在容易被發(fā)現(xiàn)的地方隨機算法遠程鑒別中，口令容易在傳遞過程中被破解明文傳輸、容易破解的協(xié)議有很多其他手段可以獲得口令觀察、錄像等暴力破解簡單的密碼口令選取的注意點不要使用容易猜到的詞或短語不要使用字典中的詞、常用短語

4、或行業(yè)縮寫等應該使用非標準的大寫和拼寫方法應該使用大小寫和數(shù)字混合的方法選取口令此外，口令質(zhì)量還取決于口令空間口令加密算法口令長度口令空間的大小口令空間的大小是字母表規(guī)模和口令長度的函數(shù)S：口令空間L：口令的最大有效期R：單位時間內(nèi)可能的口令猜測數(shù)P：口令有效期內(nèi)被猜出的可能性P（LR）/S口令加密算法單向加密函數(shù)加密算法的安全性十分重要如果口令加密只依賴于口令或其他固定信息，有可能造成不同用戶加密后的口令是相同的即不同的密碼能打開多個賬戶為了減少這種可能性，要考慮使用一些其他因素來加密口令長度口令在有效期內(nèi)被猜出的可能性，決定口令的安全性可能性越小，口令越安全在其他條件相同的情況下，口令越長

5、，安全性越大口令有效期越短，口令被猜出的可能性越小口令長度計算方法：MlogASS：口令空間A：字母表大小為了計算合適的口令長度建立一個可以接受的口令猜出可能性P，例如10-20根據(jù)口令最大有效期L和單位時間內(nèi)可能的口令猜測數(shù)R，以及P反過來計算SS（LR）/P然后根據(jù)口令空間計算出口令長度，取整破解口令的方法社會工程學方法字典程序口令文件竊取暴力破解口令管理當用戶在系統(tǒng)注冊時，必須賦予用戶口令用戶口令必須定期更改系統(tǒng)必須維護一個口令數(shù)據(jù)庫用戶必須記憶自身的口令在系統(tǒng)認證用戶時，用戶必須輸入口令口令的安全性維護口令的安全性應該由系統(tǒng)管理員和用戶共同努力加以維護系統(tǒng)管理員初始化系統(tǒng)口令初始口令分

6、配口令更改認證用戶ID使用戶ID重新生效培訓用戶用戶安全意識更改口令如何防止口令暴露給系統(tǒng)管理員？小結(jié)：口令機制的實現(xiàn)要點口令的存儲口令的傳輸賬戶封鎖賬戶管理用戶安全屬性審計實時通知系統(tǒng)管理員通知用戶2.1.3 生物鑒別方法“證明你是誰”；“表現(xiàn)你的動作”提供用戶特有的行為或生理上的特點指紋、面容掃描、虹膜掃描、視網(wǎng)膜掃描、手掌掃描心跳或脈搏取樣、語音取樣、簽字力度、按鍵取樣等采用的技術(shù)稱為“生物測定學”采用一個生物測定學因素代替用戶名或賬戶ID作為身份標識需要用生物測定學取樣對已存儲的取樣數(shù)據(jù)庫中的內(nèi)容進行一對多的查找并且要在生物測定學取樣和已存儲的取樣之間保持主體身份的一一對應使用生物鑒別

7、方法應該注意絕對唯一鑒別要準確，鑒別設(shè)備要精確必須先取樣并存儲時間特性：隨時間變化的因素，要考慮定期重新進行第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.2 訪問控制訪問控制用來提供授權(quán)用戶在通過身份鑒別后，還需要通過授權(quán)，才能訪問資源或進行操作使用訪問控制機制的目的保護存儲在計算機上的個人信息保護重要信息的機密性維護計算機內(nèi)信息的完整性減少病毒感染機會，從而延緩這種感染的傳播保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯訪問控制機制的實行確定要保護的資源授權(quán)確定訪問權(quán)限實施訪問權(quán)限系統(tǒng)內(nèi)主體對客體

8、的訪問控制機制自主訪問控制強制訪問控制基于角色的訪問控制2.2.2 自主訪問控制允許客體的所有者或建立者控制和定義主體對客體的訪問訪問控制矩陣的保存基于行的自主訪問控制機制基于列的自主訪問控制機制基于行的自主訪問控制機制在每個主體上都附加一個該主體可以訪問的客體的明細表三種形式權(quán)能表：決定用戶是否可以對客體進行訪問，以及進行何種模式的訪問。對每一個用戶，系統(tǒng)有一個權(quán)能表。前綴表：對每個主體賦予前綴表。前綴表包括受保護的客體名和主體對它的訪問權(quán)限。口令：每個客體都相應的有一個口令關(guān)于權(quán)能表用戶對自己所擁有的文件權(quán)能拷貝/回收權(quán)能的實現(xiàn)：權(quán)限字權(quán)限字是一個提供給主體對客體具有特定權(quán)限的不可偽造標識

9、主體可以建立新的客體，并指定在這些客體上允許的操作，每個權(quán)限字標識可以允許的訪問轉(zhuǎn)移和傳播權(quán)限權(quán)限字的管理必須存放在內(nèi)存中不能被普通用戶訪問的地方，如系統(tǒng)保留區(qū)、專用區(qū)、被保護區(qū)域基于列的自主訪問控制機制按客體附加一份可以訪問它的主體的明細表兩種方式保護位，UNIX訪問控制表ACL：按用戶，細粒度關(guān)于保護位保護位對客體的擁有者、及其他的主體、主體組（用戶、用戶組），規(guī)定了一個對該客體訪問的模式的集合。保護位的方式，不能完備的表達訪問控制矩陣用戶組：具有相似特點的用戶集合擁有者對客體的所有權(quán)，只能通過超級用戶特權(quán)來改變不考慮超級用戶的話，擁有者是唯一能夠改變客體保護位的主體一個用戶可能屬于多個用

10、戶組，但任意時刻只有一個活動的用戶組關(guān)于ACL訪問控制表ACL舉例File1:(ID1,r,w),(ID2,r),(GROUP1,w,x)ACL的優(yōu)點：表述直觀、易于理解比較容易查出對一個特定資源擁有訪問權(quán)限的所有用戶，有效的實施授權(quán)管理基于列的自主訪問控制機制按客體附加一份可以訪問它的主體的明細表兩種方式保護位，UNIX訪問控制表ACL：按用戶，細粒度訪問控制表ACL舉例File1:(ID1,r,w),(ID2,r),(GROUP1,w,x)ACL的優(yōu)點：表述直觀、易于理解訪問控制表方法的問題客體很多？用戶的職位、職責變化時?單純使用ACL，不易實現(xiàn)最小特權(quán)原則和復雜的安全策略授權(quán)管理費力、

11、繁瑣、容易出錯在文件和目錄中常用的幾種訪問模式對文件設(shè)置的訪問模式讀拷貝（Readcopy）與單純的讀？寫刪除（Writedelete）不同的系統(tǒng)可能有不同的寫模式，或復雜的組合（更細致）寫附加、刪除、寫修改等執(zhí)行（Execute）通常需要同時具備讀權(quán)限無效（Null）：對客體不具備任何訪問權(quán)限考慮目錄對目錄及和目錄相對應的文件的訪問操作對目錄而不對文件實施訪問控制對文件而不對目錄實施訪問控制對目錄及文件都實施訪問控制（最好）對目錄的訪問模式讀寫擴展（writeexpand）更細的：讀狀態(tài)、修改、附加2.2.3 強制訪問控制對于自主訪問授權(quán)，系統(tǒng)無法區(qū)分這是用戶的合法操作還是惡意攻擊的非法操作

12、強制訪問控制通過強加一些不可逾越的訪問限制防止某些攻擊；還可以阻止某個進程共享文件，并阻止通過一個共享文件向其他進程傳遞信息強制訪問控制基于安全屬性每個進程/文件/IPC客體都被賦予相應的安全屬性賦予的安全屬性，通常不可變，由安全管理員或者OS自動地按照嚴格的規(guī)則來設(shè)置訪問時，根據(jù)進程的安全屬性和客體的安全屬性來判斷是否允許代表用戶的進程不能改變自身或任何客體的安全屬性，也不能改變屬于該用戶的客體的安全屬性MAC和DAC通常結(jié)合在一起使用MAC，防止其他用戶非法入侵自己的文件DAC，是用戶不能通過意外事件和有意識的誤操作來逃避安全控制，常用于將系統(tǒng)中的信息分密級和類進行管理，適用于政府部門、軍

13、事和金融等領(lǐng)域當且僅當主體能夠同時通過DAC和MAC檢查時，才能訪問一個客體強制訪問控制對專用的或簡單的系統(tǒng)是有效的，但對通用、大型系統(tǒng)并不那么有效一般強制訪問控制采用一下幾種方法：限制訪問控制限制：用戶要修改ACL的唯一途徑是請求一個特權(quán)系統(tǒng)調(diào)用；該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是依靠另一個程序提供的信息來修改訪問控制信息過程控制：對過程進行控制。例如，警告用戶不要/提醒；取決于用戶本身執(zhí)行與否。系統(tǒng)控制：對系統(tǒng)的功能實施一些限制。如限制共享文件；限制用戶編程等。2.2.4 基于角色的訪問控制20世紀90年代，美國國家標準和技術(shù)研究院 NIST，基于角色的訪問控制：RBAC本質(zhì)上是

14、強制訪問控制的一種，區(qū)別在于：基于對工作的描述而不是主體的身份進行訪問控制。系統(tǒng)通過主體的角色或任務定義主體訪問客體的能力適用于人員頻繁變動的環(huán)境基本思想：根據(jù)用戶擔當?shù)慕巧珌泶_定授權(quán)給用戶的訪問權(quán)限類比：銀行的出納員、會計師、貸款員類比：醫(yī)院中的醫(yī)生、護士用戶、角色、操作、主體、客體的關(guān)系用戶與角色：一個用戶可經(jīng)授權(quán)而擁有多個角色一個角色可由多個用戶構(gòu)成角色與操作：每個角色可執(zhí)行多個操作每個操作也可由不同的角色執(zhí)行用戶與主體：一個用戶可擁有多個主體（進程）每個主體只對應一個用戶操作與客體每個操作可施加于多個客體每個客體也可以接受多個操作用戶（主體）能夠?qū)σ豢腕w執(zhí)行訪問操作的必要條件是：該用戶

15、被授權(quán)了一定的角色，其中有一個在當前時刻處于活躍狀態(tài)，且這個角色對客體擁有相應的訪問權(quán)限RBAC的特征訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限對事不對人角色繼承角色之間可能有互相重疊的職責和權(quán)力具有角色繼承概念的角色，有自己的屬性，但可能還繼承其他的角色的屬性及擁有的權(quán)限最小特權(quán)原則即用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限可以設(shè)計不同的角色，滿足最小特權(quán)原則職責分離靜態(tài)職責分離，Static Separation of Duty，SSD一個用戶不能賦予多個角色動態(tài)職責分離，Dynamic Separation of Duty，DSD一個用戶可以賦予多個角色，但同一時刻只能有一個角色是

16、活動的角色容量在一個特定的時間段內(nèi)，有一些角色有人數(shù)限制在創(chuàng)建新的角色時，要指定角色的容量第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.3 最小特權(quán)管理超級用戶 VS. 普通用戶主流多用戶操作系統(tǒng)中，超級用戶一般具有所有特權(quán)，而普通用戶不具有任何特權(quán)威脅：超級用戶口令丟失；被冒充；誤操作解決方法：實行最小特權(quán)管理原則參考：http:/developerworks/cn/security/se-limited/橘皮書關(guān)于最小特權(quán)的定義：要求賦予系統(tǒng)中每個使用者執(zhí)行授權(quán)任務所需的限制性最強的一組特權(quán)，即最低許

17、可這個原則的應用將限制因意外、錯誤或未經(jīng)授權(quán)使用而造成的損害最小特權(quán)原則：必不可少的特權(quán)充分性：保證所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務或操作必要性：在充分的前提下加以限制基本思想和出發(fā)點：系統(tǒng)不應給用戶超過執(zhí)行任務所需特權(quán)以外的特權(quán)一種可能的方案：將特權(quán)用戶的特權(quán)加以劃分，形成一組細粒度的特權(quán)最小特權(quán)舉例1在系統(tǒng)中定義系統(tǒng)安全管理員審計員操作員安全操作員網(wǎng)絡(luò)管理員任何一個用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略為了保證系統(tǒng)的安全性，不應賦予某人一個以上的職責系統(tǒng)安全管理員對系統(tǒng)資源和應用定義安全級限制隱蔽通道活動的機制定義用戶和自主訪問控制的組為所有用戶賦予安全級審計員設(shè)置

18、審計參數(shù)修改和刪除審計系統(tǒng)產(chǎn)生的原始審計信息控制審計歸檔操作員啟動和停止系統(tǒng)，以及完成磁盤一致性檢查等格式化新的存儲介質(zhì)設(shè)置終端參數(shù)允許或不允許登錄，但不能改變口令、用戶的安全紀和其他有關(guān)安全的登錄參數(shù)產(chǎn)生原始的系統(tǒng)記賬數(shù)據(jù)安全操作員：完成安全相關(guān)的日常例行活動；相當于具有特權(quán)能力的操作員。完成操作員的所有責任例行的備份和恢復安裝和拆卸可安裝介質(zhì)網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)軟件，如TCP/IP設(shè)置BUN文件，允許使用Uucp，Uuto等進行網(wǎng)絡(luò)通信設(shè)置與連接服務器、CRI認證機構(gòu)、ID映射機構(gòu)、地址映射機構(gòu)和網(wǎng)絡(luò)選擇有關(guān)的管理文件啟動和停止RFS，通過RFS共享和安裝資源啟動和停止NFS，通過NFS共享

19、和安裝資源最小特權(quán)舉例2CAP_SETPLEVEL CAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN將系統(tǒng)中能進行敏感操作的能力分成26個特權(quán)CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MUL

20、TIDIR由一些特權(quán)用戶分別掌握這些特權(quán)，哪一個特權(quán)用戶都不能獨立完成所有的敏感操作常見的最小特權(quán)管理機制基于文件的特權(quán)機制基于進程的特權(quán)機制目前幾種安全OS的最小特權(quán)管理機制惠普的Presidum/Virtual Vault根功能分成42中獨立的特權(quán)最小特權(quán)是惠普可信賴OSVirtual Vault的基本特性紅旗安全操作系統(tǒng)RFSOS一個管理角色不擁有另一個管理角色的特權(quán)，攻擊者破獲某個管理角色口令時，不會得到對系統(tǒng)的完全控制SELinux系統(tǒng)中不再有超級用戶，而被分解避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路

21、安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.4 可信通路可信通路是用戶能夠借以同可信計算基通信的一種機制能夠保證用戶確定是和安全核心通信防止不可信進程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令最簡單的辦法：給每個用戶兩臺終端一臺用于處理日常工作；一臺專門用于和內(nèi)核的硬連接昂貴另一種方法：使用通用終端，通過發(fā)信號給核心不可信軟件不能攔截、覆蓋或偽造的信號安全注意鍵Linux的安全注意鍵在x86平臺上是+SYS Rq)第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.5 安全審計機制審計

22、是一種事后分析法，一般通過對日志的分析來完成日志：記錄的事件或統(tǒng)計數(shù)據(jù)提供關(guān)于系統(tǒng)使用及性能方面的信息審計：對日志記錄進行分析以清晰的、能理解的方式表述系統(tǒng)信息安全審計：對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查及審核認定違反安全規(guī)則的行為審計機制的主要作用主要作用能詳細記錄與系統(tǒng)安全有關(guān)的行為，并對這些行為進行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點、過程以及對應的主體對于已受攻擊的系統(tǒng)，可以提供信息幫助進行損失評估和系統(tǒng)恢復安全操作系統(tǒng)一般都要求采用審計機制來監(jiān)視與安全相關(guān)的活動橘皮書中有明確要求2.5.1 審計事件審計事件是系

23、統(tǒng)審計用戶動作的基本單位通常根據(jù)要審計行為的不同性質(zhì)加以分類主體：要記錄用戶進行的所有活動客體：要記錄關(guān)于某一客體的所有訪問活動用戶事件標準每個用戶有自己的待審計事件集基本事件集在用戶事件標準中，每個用戶都要審計的公共部分橘皮書從C2級開始要求具有審計功能GB17859-1999從第二級開始就對審計有了明確的要求2.5.2 審計系統(tǒng)的實現(xiàn)日志記錄器：收集數(shù)據(jù)根據(jù)要審計的審計事件范圍記錄信息輸出：二進制形式，或者可以直接讀取的形式或者直接傳送給數(shù)據(jù)分析機制分析器：分析數(shù)據(jù)輸入：日志分析日志數(shù)據(jù)，使用不同的分析方法來監(jiān)測日志數(shù)據(jù)中的異常行為通告器：通報結(jié)果輸入：分析器的分析結(jié)果把結(jié)果通知系統(tǒng)管理員

24、或其他主體為這些主體提供系統(tǒng)的安全信息輔助他們對系統(tǒng)可能出現(xiàn)的問題進行決策Windows NT的日志文件系統(tǒng)日志跟蹤各種系統(tǒng)事件記錄由Windows NT的系統(tǒng)組件產(chǎn)生的事件例如：啟動過程中加載驅(qū)動程序錯誤又如：系統(tǒng)崩潰應用程序日志記錄由應用程序或系統(tǒng)程序產(chǎn)生的事件例如：應用程序產(chǎn)生的狀態(tài)dll失敗又如：應用程序的添加安全日志記錄安全相關(guān)的關(guān)鍵安全事件例如：登錄上網(wǎng)/下網(wǎng)，改變訪問權(quán)限，系統(tǒng)啟動和關(guān)閉，與創(chuàng)建/打開/刪除文件等資源使用相關(guān)聯(lián)的事件第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全機制2.6 存儲保護、

25、運行保護和I/O保護存儲保護存儲保護需求保護用戶存儲在存儲器中的數(shù)據(jù)保護單元和保護精度：字/字塊/頁面/段單道系統(tǒng) VS 多道系統(tǒng) VS 多用戶系統(tǒng)存儲器管理和存儲保護之間的關(guān)系存儲基本概念：虛擬地址空間、段內(nèi)存管理的訪問控制：系統(tǒng)段與用戶段基于物理頁號的識別基于描述符的地址解釋機制基于物理頁號的識別每個物理頁號都被加上一個密鑰系統(tǒng)只允許擁有該密鑰的進程訪問該物理頁每個進程分配一個密鑰，裝入進程的狀態(tài)字中每次訪問內(nèi)存時，由硬件對該密鑰進行校驗密鑰：要匹配訪問控制信息（讀寫權(quán)限）要匹配缺點：繁瑣基于描述符的地址解釋機制每個進程有一個“私有”的地址描述符，描述進程對內(nèi)存某頁或某段的訪問模式可以有兩

26、類訪問模式集：用戶狀態(tài)下運行的進程系統(tǒng)模式下運行的進程優(yōu)點：開銷小基于保護環(huán)的運行保護等級域保護機制應該保護某一環(huán)不被其外層環(huán)侵入允許在某一環(huán)內(nèi)的進程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)與進程隔離機制不同在任意時刻，進程可以在任何一個環(huán)內(nèi)運行，并轉(zhuǎn)移到另一個環(huán)。保護進程免遭在同一環(huán)內(nèi)同時運行的其他進程的破壞I/O保護I/O操作一般是特權(quán)操作操作系統(tǒng)對IO操作進行封裝，提供對應的系統(tǒng)調(diào)用將設(shè)備看成一個客體，對其應用相應的訪問控制規(guī)則讀寫兩種針對從處理器到設(shè)備間的路徑第二章 操作系統(tǒng)的安全機制概述標識與鑒別機制訪問控制最小特權(quán)管理可信通路安全審計機制存儲保護、運行保護和I/O保護主流OS的安全

27、機制主流OS的安全機制1： Linux2： Microsoft Windows 2000Linux的安全機制PAM入侵檢測系統(tǒng)加密文件系統(tǒng)安全審計強制訪問控制防火墻PAMPluggable Authentication Modules目的：提供一個框架和一套編程接口，將認證工作由程序員交給管理員允許管理員在多種認證方法之間做出選擇，能夠改變本地認證方法而不需要重新編譯與認證相關(guān)的應用程序以共享庫的形式提供功能包括：加密口令（包括DES和其他加密算法）對用戶進行資源限制，防止DOS攻擊允許隨意Shadow口令限制特定用戶在指定時間從指定地點登錄引入概念“client plug-in agents

28、”，使PAM支持C/S應用中的機器入侵檢測系統(tǒng)目前比較流行的入侵檢測系統(tǒng)有Snort，Portsentry，LIDS等利用Linux配備的工具和從Internet上download的工具，就可以使Linux具備高級的入侵檢測能力，包括：記錄入侵企圖當攻擊發(fā)生時及時通知管理員在規(guī)定情況的攻擊發(fā)生時，采取實現(xiàn)規(guī)定的措施發(fā)送一些錯誤信息，比如偽裝成其他操作系統(tǒng)，例如WindowsNT或者Solaris系統(tǒng)加密文件系統(tǒng)加密文件系統(tǒng)就是將加密服務引入文件系統(tǒng)，從而提高計算機系統(tǒng)的安全性防止硬盤被偷竊防止未經(jīng)授權(quán)的訪問目前，Linux已有多種加密文件系統(tǒng)，例如CFSTCFS，Transparent Cryptographic File SystemCRYPTFSTCFSTransparent：用戶感覺不到文件的加密過程將加密服務和文件系統(tǒng)緊密集成不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)備份與修復以及用戶訪問