在本文中，將為大家介紹Linxu的安全機(jī)制（只是簡單介紹下，本人太菜，很深的的東東我也寫不出，呵呵）
PAM機(jī)制
PAM是一套共享庫，它提供了一個框架和一套編程接口，把認(rèn)證工作從程序員那里轉(zhuǎn)到ADMIN那里。PAM允許ADMIN在多種認(rèn)證方式之間進(jìn)行選擇，能夠改變本地的認(rèn)證方法而不需要重新編譯有關(guān)認(rèn)證的應(yīng)用程序。
PAM包括如下功能：
◆加密口令
◆允許隨意Shandow口令
◆對用戶進(jìn)行資源限制以防止DOS攻擊
◆限制用戶在特定時間內(nèi)從特定地點(diǎn)登陸
◆引入概念“clientplug-inagents”，使PAM支持C/S應(yīng)用中的機(jī)器——機(jī)器認(rèn)證成為可能。
PAM機(jī)制為一些更高級的認(rèn)證方法提供了便利的基礎(chǔ)，在此基礎(chǔ)上很容易開發(fā)出例如智能卡，指紋識別認(rèn)證等高技術(shù)認(rèn)證方法。
入侵檢測系統(tǒng)（IDS）
這是一種比較新的技術(shù)，現(xiàn)在的服務(wù)器很少有安裝IDS系統(tǒng)的，LINUX也只有最近發(fā)布的新版本才陪上這種工具。管入侵檢測系統(tǒng)的歷史很短，但發(fā)展卻很快，目前比較流行的入侵檢測系統(tǒng)有Snort、Portsentry、Lids等。（以后我會為大家專門介紹入侵檢測系統(tǒng)）
利用LINUX本身配備的工具和從INTERNET上DOWN下的工具，可以使LINUX系統(tǒng)具備高級的入侵檢測能力，這些能力包括：
◆記錄入侵企圖，當(dāng)攻擊發(fā)生時及時通知管理員；
◆在規(guī)定情況的攻擊發(fā)生時，采取事先規(guī)定的措施；
◆發(fā)送一些錯誤信息，比如偽裝成其他*作系統(tǒng)，這樣攻擊者會認(rèn)為他們正在攻擊一個WindowsNT或Solaris系統(tǒng)。（我們可不可以說這是一種網(wǎng)絡(luò)欺騙技術(shù)呢？）
加密文件系統(tǒng)
加密文件系統(tǒng)就是將加密服務(wù)引入文件系統(tǒng)，從而提高計算機(jī)系統(tǒng)的安全性。有太多的理由需要加密文件系統(tǒng)，比如防止硬盤被偷竊、防止未經(jīng)授權(quán)的訪問等。目前開發(fā)的LINUX中已經(jīng)有多種加密文件系統(tǒng)，例如CFS、TCFS、CRYPTFS等，其中比較有代表性的是TCFS，
它通過將加密服務(wù)和文件系統(tǒng)緊密集成，使用戶感覺不到文件的加密過程。TCFS不修改文件系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，備份與修復(fù)以及用戶訪問保密文件的語義也不變。TCFS可以作到讓以下用戶不可讀加密文件：
◆合法擁有者以外的用戶；
◆用戶和遠(yuǎn)程文件系統(tǒng)通信線路上的偷聽者；
◆文件系統(tǒng)服務(wù)器的超級用戶。
對于合法用戶，訪問保密文件與訪問普通文件幾乎沒有區(qū)別。
安全審計
即使系統(tǒng)管理員十分精明地采取了各種安全措施，但是新漏洞是層出不窮的，攻擊者在漏洞被修補(bǔ)之前會迅速抓住機(jī)會攻破盡可能多的機(jī)器。雖然LINUX不能預(yù)測何時主機(jī)會受到攻擊，但是它可以記錄攻擊者的行蹤。LINUX系統(tǒng)也可以進(jìn)行檢測、記錄時間信息和網(wǎng)絡(luò)連接情況。這些信息將被重定向到日志中備查。日志是Linux安全結(jié)構(gòu)中的一項非常重要的內(nèi)容，它是提供攻擊發(fā)生的唯一真實(shí)的證據(jù)（入侵者往往刪除或者偽造日志也就是這個原因）。因為現(xiàn)在的攻擊方法多種多樣，所以Linux提供網(wǎng)絡(luò)、主機(jī)和用戶級的日志信息。LINUX可以記錄以下內(nèi)容：
◆記錄所有系統(tǒng)和內(nèi)核信息；
◆記錄遠(yuǎn)程用戶申請訪問哪些文件；
◆記錄用戶可以控制哪些進(jìn)程；
◆記錄具體用戶使用的每條命令；
◆記錄每一次網(wǎng)絡(luò)連接和它們的源IP地址、長度，有時還包括攻擊者的用戶名和使用的*作系統(tǒng)。
強(qiáng)制訪問控制
強(qiáng)制訪問控制（MAC，這個MAC可不是以臺技術(shù)里的MAC，大家一定要分清楚），是一種由系統(tǒng)管理員從全系統(tǒng)的角度定義和實(shí)施的訪問控制，它通過標(biāo)記系統(tǒng)中的主客體，強(qiáng)制性地限制信息的共享和流動，使不同的用戶只能訪問到與其有關(guān)的、指定范圍的信息，從根本上防止信息的失泄密和訪問混亂的現(xiàn)象。
傳統(tǒng)的MAC實(shí)現(xiàn)都是基于TCSEC中定義的MLS策略，但因MLS本身存在著不少缺點(diǎn)（不靈活、兼容性差、難于管理等），研究人員已經(jīng)提出了多種MAC策略，如DTE、RBAC等。由于LINUX是一種自由*作系統(tǒng)，目前在其上實(shí)現(xiàn)強(qiáng)制訪問控制的就有好幾家，其中比較典型的包括SElinux、RSBAC、MAC等，采用的策略也各不相同。
NSA推出的SELinux安全體系結(jié)構(gòu)稱為Flask，在這一結(jié)構(gòu)中，安全性策略的邏輯和通用接口一起封裝在與*作系統(tǒng)獨(dú)立的組件中，這個單獨(dú)的組件稱為安全服務(wù)器。SELinux的安全服務(wù)器定義了一種混合的安全性策略，由類型實(shí)施(TE)、基于角色的訪問控制(RBAC)和多級安全(MLS)組成。通過替換安全服務(wù)器，可以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過checkpolicy編譯成二進(jìn)制形式，存儲在文件/ss_policy中，在內(nèi)核引導(dǎo)時讀到內(nèi)核空間。這意味著安全性策略在每次系統(tǒng)引導(dǎo)時都會有所不同。策略甚至可以通過使用security_load_policy接口在系統(tǒng)*作期間更改（只要將策略配置成允許這樣的更改）。
RSBAC的全稱是RuleSetBasedAccessControl（基于規(guī)則集的訪問控制），它是根據(jù)Abrams和LaPadula提出的GeneralizedFrameworkforAccessControl(GFAC)模型開發(fā)的，可以基于多個模塊提供靈活的訪問控制。所有與安全相關(guān)的系統(tǒng)調(diào)用都擴(kuò)展了安全實(shí)施代碼，這些代碼調(diào)用中央決策部件，該部件隨后調(diào)用所有激活的決策模塊，形成一個綜合的決定，然后由系統(tǒng)調(diào)用擴(kuò)展來實(shí)施這個決定。RSBAC目前包含的模塊主要有MAC、RBAC、ACL等。
防火墻
防火墻是在被保護(hù)網(wǎng)絡(luò)和因特網(wǎng)之間，或者在其他網(wǎng)絡(luò)之間限制訪問的一種部件或一系列部件。LINUX的防火墻有以下功能：
◆訪問控制，可以執(zhí)行基于地址，時間和用戶的訪問控制策略，從而可以杜絕非授權(quán)的訪問，同時保護(hù)內(nèi)部用戶的合法訪問不受影響。
◆審計，對通過它的網(wǎng)絡(luò)訪問進(jìn)行記錄，建立完備的日志、審計和追蹤網(wǎng)絡(luò)訪問記錄，并可以根據(jù)需要產(chǎn)生報表。
◆抗攻擊，防火墻系統(tǒng)直接暴露在非信任網(wǎng)絡(luò)中，對外界來說，受到防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)如同一個點(diǎn)，所有的攻擊都是直接針對它的，該點(diǎn)稱為堡壘機(jī)，因此要求堡壘機(jī)具有高度的安全性和抵御各種攻擊的能力。
◆其他附屬功能，如與審計相關(guān)的報警和入侵檢測，與訪問控制相關(guān)的身份驗證、加密和認(rèn)證，甚至VPN等
########################################################################