1 PAM机制

　　PAM是一套共享库，它提供了一个框架和一套编程接口，把认证工作从程序员那里转到ADMIN那里。PAM允许ADMIN在多种认证方式之间进行选择，能够改变本地的认证方法而不需要重新编译有关认证的应用程序。

　　PAM包括如下功能:

　　**加密口令

　　**允许随意Shandow口令

　　**对用户进行资源限制以防止DOS攻击

　　**限制用户在特定时间内从特定地点登陆

　　**引入概念“client plug-in agents”，使PAM支持C/S应用中的机器——机器认证成为可能。

　　PAM机制为一些更高级的认证方法提供了便利的基础，在此基础上很容易开发出例如智能卡，指纹识别认证等高技术认证方法。

　　2 入侵检测系统(IDS)

　　这是一种比较新的技术，现在的服务器很少有安装IDS系统的，LINUX也只有最近发布的新版本才陪上这种工具。管入侵检测系统的历史很短，但发展却很快，目前比较流行的入侵检测系统有Snort、Portsentry、 Lids等。 (以后我会为大家专门介绍入侵检测系统)

　　利用LINUX本身配备的工具和从INTERNET上DOWN下的工具，可以使LINUX系统具备高级的入侵检测能力，这些能力包括:

　　**记录入侵企图，当攻击发生时及时通知管理员;

　　**在规定情况的攻击发生时，采取事先规定的措施;

　　**发送一些错误信息，比如伪装成其他*作系统，这样攻击者会认为他们正在攻击一个Windows NT 或Solaris系统。(我们可不可以说这是一种网络欺骗技术呢?)

　　3 加密文件系统

　　加密文件系统就是将加密服务引入文件系统，从而提高计算机系统的安全性。有太多的理由需要加密文件系统，比如防止硬盘被偷窃、防止未经授权的访问等。目前开发的LINUX中已经有多种加密文件系统，例如 CFS、TCFS、CRYPTFS等，其中比较有代表性的是TCFS，

　　它通过将加密服务和文件系统紧密集成，使用户感觉不到文件的加密过程。TCFS不修改文件系统的数据结构，备份与修复以及用户访问保密文件的语义也不变。TCFS可以作到让以下用户不可读加密文件:

　　**合法拥有者以外的用户;

　　**用户和远程文件系统通信线路上的偷听者;

　　**文件系统服务器的超级用户。

　　对于合法用户，访问保密文件与访问普通文件几乎没有区别。

　　4 安全审计

　　即使系统管理员十分精明地采取了各种安全措施，但是新漏洞是层出不穷的，攻击者在漏洞被修补之前会迅速抓住机会攻破尽可能多的机器。虽然LINUX不能预测何时主机会受到攻击，但是它可以记录攻击者的行踪。LINUX系统也可以进行检测、记录时间信息和网络连接情况。这些信息将被重定向到日志中备查。日志是Linux安全结构中的一项非常重要的内容，它是提供攻击发生的唯一真实的证据(入侵者往往删除或者伪造日志也就是这个原因)。因为现在的攻击方法多种多样，所以Linux提供网络、主机和用户级的日志信息。LINUX可以记录以下内容:

　　**记录所有系统和内核信息;

　　**记录远程用户申请访问哪些文件;

　　**记录用户可以控制哪些进程;

　　**记录具体用户使用的每条命令;

　　**记录每一次网络连接和它们的源IP地址、长度，有时还包括攻击者的用户名和使用的*作系统。

　　5 强制访问控制

　　强制访问控制(MAC，这个MAC可不是以台技术里的MAC，大家一定要分清楚)，是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象。

　　传统的MAC实现都是基于TCSEC中定义的MLS策略，但因MLS本身存在着不少缺点(不灵活、兼容性差、难于管理等)，研究人员已经提出了多种MAC策略，如DTE、RBAC等。由于LINUX是一种自由*作系统，目前在其上实现强制访问控制的就有好几家，其中比较典型的包括SElinux、RSBAC、MAC等，采用的策略也各不相同。

　　NSA推出的SELinux安全体系结构称为 Flask，在这一结构中，安全性策略的逻辑和通用接口一起封装在与*作系统独立的组件中，这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性策略，由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器，可以支持不同的安全策略。SELinux使用策略配置语言定义安全策略，然后通过checkpolicy 编译成二进制形式，存储在文件 /ss_policy中，在内核引导时读到内核空间。这意味着安全性策略在每次系统引导时都会有所不同。策略甚至可以通过使用 security_load_policy 接口在系统*作期间更改(只要将策略配置成允许这样的更改)。

　　RSBAC的全称是Rule Set Based Access Control(基于规则集的访问控制)，它是根据Abrams和LaPadula提出的Generalized Framework for Access Control(GFAC)模型开发的，可以基于多个模块提供灵活的访问控制。所有与安全相关的系统调用都扩展了安全实施代码，这些代码调用中央决策部件，该部件随后调用所有激活的决策模块，形成一个综合的决定，然后由系统调用扩展来实施这个决定。RSBAC目前包含的模块主要有MAC、RBAC、ACL等。
详情请连接：
[url]http://www.15job.org.cn/[/url]
[url]http://www.cp-beidaqingniao.cn/[/url]

嘿嘿，好久没上来发帖回答问题了，今天给大家分享一下LIUNX简单的常用命令：
    名 称: dd 
　　使用权限: 所有使用者dd 这个指令在 manual 里的定义是 convert and copy a file 
　　
　　使用格式: 
　　dd [option] 
　　
　　如果你想要在线看 manual, 可以试试: 
　　dd --help 
　　
　　或是 
　　info dd 
　　
　　如果你想要看看这个版本如何: 
　　dd --version 
　　
　　输入或输出 
　　dd if=[STDIN] of=[STDOUT] 
　　
　　强迫输入或输出的Size为多少Bytes 
　　bs: dd -ibs=[BYTE] -obs=[SIZE] 
　　
　　强迫一次只做多少个 Bytes 
　　cbs=BYTES 
　　
　　跳过一段以后才输出 
　　seek=BLOCKS 
　　
　　跳过一段以后才输入 
　　skip=BLOCKS 
　　
　详情请连接：
 [url]http://www.ithuhang.com[/url]
 [url]http://www.gobenet.net.cn[/url]