/lib/security/ the actual location of the PAM modules
PAM entry format:
Module type flags path args
Module type: determine authentication type
Flags: determine module type priority
原理：根据用户的身份为每个用户构建一对密钥
实现：
恢复代理：为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。
如何恢复：
如何添加恢复代理：
注意事项：
只有被授权的用户或恢复代理才能访问加密的文件
加密和压缩是相斥的
对文件的重命名，移动不会影响加密属性
至少需要一个恢复代理
仅能对静态存储的数据进行加密，若需要网络中传输的数据提供安全性，可使用IPSec和PPTP
S-1-5-<domain>-501
Guest
A user account for people who do not have individual accounts. This user account does not require a password. By default, the Guest account is disabled.
具体的安全机制：
环绕机制：在进程或系统之间加密数据
签名机制：抗抵赖性和抗修改性
填充机制：增加数据捕获的难度
访问控制机制：确保授权的合法性
数据统一性机制：确保数据的顺序发送
广泛的安全性机制：
安全标记：通过指出数据的安全性级别来限制对数据的访问
信任机制：提供了敏感信息的传输途径
审核：提供了监控措施
安全恢复：当出现安全性事件的时候采取的一组规则
looks at path statement
Unix: only looks at path statement
Do not set the current directory inthefirst place of the PATH
Do not allow write permission for normal users about directory in PATH of root
7、使用系统级别的日志
syslogd:使用/etc/syslog.conf进行配置
inetd:使用-t选项激活日志功能，可以记录相应服务的运行情况
第三章文件系统安全性
概述：windows文件安全性
Linux文件安全性
一、windows文件系统安全：
1、所支持的文件系统：
FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS
3、激活密码复杂性需要
4、重命名管理员账户
5、限制管理员登录的工作站
6、限制账户的登录时间
7、使用SYSKEY加强对SAM的安全防护
三、UNIX账号的安全性
1、密码文件：
/etc/passwd：everyone can read, but only root can own it and change it
PAM directory: /etc/pam.d/ determine what must occur before a user can logged in
/etc/security/ set limits concerning usersanddaemons once they have logged ontothesystem
审核：
通过对象来控制对资源的访问
对象：将资源和相应的访问控制机制封装在一起，称之为对象，系统通过调用对象来提供应用对资源的访问，禁止对资源进行直接读取
包括：文件（夹），打印机，I/O设备，视窗，线程，进程，内存
安全组件：
安全标识符：SID，可变长度的号码，用于在系统中唯一标示对象，在对象创建时由系统分配，包括域的SID和RID。创建时根据计算机明、系统时间、进程所消耗CPU的时间进行创建。
操作系统安全
第一章安全法则
概述：基本概念
NT的安全性
UNIX的安全性
一、基本概念：
1、安全级别：
低安全性：在一个安全的位置，没有保存扫描病毒
敏感信息
中等安全性：保存公众数据，需要被多人使设置权限，激活审核，实现账号策略
用
高安全性：位于高风险的位置，保存有敏感最小化操作系统的功能，最大化安全
机制
信息
2、安全机制：
Path: determine module location in the system
Args: optional, customize PAM behavior
/etc/security directory:
access.conf: determines who can access the machine and from where
S-1-5-32-544
Administrators
Abuilt-in group. After the initial installation of the operating system, the only member of the group is the Administrator account. When a computer joins a domain, the Domain Admins group is added to the Administrators group. When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group.
S-1-5-32-545
Users
A built-in group. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, theDomain Users group is added to the Users group on the computer.
The Administrators group has built-in capabilties that give its members full control over the system. The group is the default owner of any object that is created by a member of the group.
第二章账号安全性
概述：账号安全性概述
NT账号的安全性
UNIX账号的安全性
一、账号安全性：归根结底是保护密码的安全性
1、强力密码：包含大小写，数字和特殊字符，不包含用户名和个人信息
2、赋予最低的权限和及时清理无用的账号
二、NT账号的安全性
1、定期检查账号数据库，掌握账号的变化；同时定期察看系统的的调度任务
/etc/shadow：only root can read and write it
2、账号策略：
3、限制登录：
Solaris: /etc/default/login console = /dev/console
Linux: /etc/security list the device name where root can login
3、/etc/passwd和/etc/shadow文件的安全
4、non-root user access to sensitive commands: poweroff, reboot, halt
Pluggable authentication modules: PAMs, create additional authentication parameters without affecting existing authentication systems
2、使用账号策略来强化密码的安全性：
在2000中账号策略必须在域的级别来进行设置
密码策略
账号锁定策略
Kerberos策略
区别：2000最多支持127位密码，NT最多14位，在存储密码时以7位为单位，所以选择密码时应为7的整数倍
NT缺省不禁用管理员账户，2000可以远程禁用
在设置账号锁定时，要考虑会产生拒绝服务的攻击
S-1-5-<domain>-500
Administrator
A user account for the system administrator. This account is the first account created during operating system installation. The account cannot be deleted or locked out. It is a member of the Administrators group and cannot be removed from that group.
Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation.