1、目前，越來(lái)越多的企業(yè)希望通過(guò)建立企業(yè)級(jí)的單點(diǎn)登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問(wèn)入口，建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問(wèn)與集成平臺(tái)；通過(guò)實(shí)施單點(diǎn)登錄功能，用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問(wèn)不同的應(yīng)用系統(tǒng)，提高信息系統(tǒng)的安全性和穩(wěn)定性。在上面所敘述的研究背景下，本文在對(duì)Linux操作系統(tǒng)安全現(xiàn)狀進(jìn)行了研究后指出：一方面，Linux與其他操作系統(tǒng)互聯(lián)以實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄等問(wèn)題慢慢地被人們所重視；另一

2、方面，Linux采用的傳統(tǒng)的自主訪問(wèn)控制機(jī)制(DAC)不能滿足對(duì)訪問(wèn)控制進(jìn)行集中管理這一要求，急需引入一種新的訪問(wèn)控制機(jī)制。 PAM(PluggableAuthenticationModule，可插拔認(rèn)證模塊)機(jī)制采用模塊化設(shè)計(jì)，使得開發(fā)人員可以輕易地在應(yīng)用程序中插入新的認(rèn)證技術(shù)。PAM將應(yīng)用程序與具體的認(rèn)證機(jī)制分離，當(dāng)系統(tǒng)改變認(rèn)證機(jī)制時(shí)，不再需要修改采用認(rèn)證機(jī)制的應(yīng)用程序，而只要由管理員配置應(yīng)用程序的認(rèn)證服務(wù)模塊，極大地提高了

3、認(rèn)證機(jī)制的通用性與靈活性。用戶可以加載第三方PAM認(rèn)證服務(wù)模塊以實(shí)現(xiàn)身份認(rèn)證機(jī)制的替換。本文詳細(xì)描述了如何基于PAM機(jī)制設(shè)計(jì)實(shí)現(xiàn)第三方PAM認(rèn)證模塊以實(shí)現(xiàn)Linux單點(diǎn)登錄功能。 另外，Linux所采用的傳統(tǒng)自主訪問(wèn)控制機(jī)制(DAC)有明顯的缺點(diǎn)，比如訪問(wèn)粒度太粗等。Linux安全模塊(LSM)本身不提供任何具體的安全策略，而是提供了一個(gè)通用的訪問(wèn)控制框架給安全模塊，由安全模塊來(lái)實(shí)現(xiàn)具體的安全策略。LSM通過(guò)可加載內(nèi)核模塊的方法