以下是 PAM 访问的几个值得注意的配置文件。

密码选择的限制由 PAM 模块 pam_unix(8) 和 pam_cracklib(8) 实现。它们可以通过其参数进行配置。

	提示
	PAM 模块在其文件名中使用后缀“.so”。

现代集中式系统管理可以使用集中式 轻型目录访问协议 (LDAP) 服务器来管理网络上的许多类 Unix 和非类 Unix 系统。OpenLDAP 软件 是轻型目录访问协议的开源实现。

LDAP 服务器通过使用 PAM 和 NSS 以及 Debian 系统的 libpam-ldap 和 libnss-ldap 软件包来提供帐户信息。启用此功能需要执行几个操作（我未使用过此设置，以下内容纯粹是次要信息。请在此上下文中阅读此内容。）。

请参阅 libpam-doc 软件包提供的 pam_ldap.conf(5) 和“/usr/share/doc/libpam-doc/html/”中的文档，以及 glibc-doc 软件包提供的“info libc 'Name Service Switch'”。

同样，您可以使用其他方法设置备用集中式系统。

这是 Richard M. Stallman 在旧的“info su”页面底部的名言。不用担心：Debian 中当前的 su 命令使用 PAM，因此可以通过在“/etc/pam.d/su”中启用带有“pam_wheel.so”的行，将使用 su 的能力限制为 root 组。

安装 libpam-cracklib 软件包使您可以强制执行更严格的密码规则，例如，通过在“/etc/pam.d/common-password”中激活如下行。

对于 squeeze

password required pam_cracklib.so retry=3 minlen=9 difok=3
password [success=1 default=ignore] pam_unix.so use_authtok nullok md5
password requisite pam_deny.so
password required pam_permit.so

sudo(8) 是一个程序，旨在允许系统管理员向用户授予有限的 root 权限并记录 root 活动。sudo 只需要普通用户的密码。安装 sudo 软件包，并通过在“/etc/sudoers”中设置选项来激活它。请参阅“/usr/share/doc/sudo/examples/sudoers”中的配置示例和 第 1.1.12 节，“sudo 配置”。

我对单用户系统使用 sudo（请参阅 第 1.1.12 节，“sudo 配置”）旨在保护自己免受自己的愚蠢行为的影响。就我个人而言，我认为使用 sudo 比一直从 root 帐户使用系统更好。例如，以下命令将“<some_file>”的所有者更改为“<my_name>”。

$ sudo chown <my_name> <some_file>

当然，如果您知道 root 密码（就像自行安装 Debian 的用户一样），可以使用“su -c”从任何用户的帐户下以 root 身份运行任何命令。

PolicyKit 是一个操作系统组件，用于控制类 Unix 操作系统中的系统范围权限。

较新的 GUI 应用程序并非设计为以特权进程运行。它们通过 PolicyKit 与特权进程通信以执行管理操作。

PolicyKit 将此类操作限制为属于 Debian 系统上 sudo 组的用户帐户。

请参阅 polkit(8)。

Security-Enhanced Linux (SELinux) 是一个框架，通过 强制访问控制 (MAC) 策略，使权限模型比普通的类 Unix 安全模型更严格。在某些条件下，root 权限可能会受到限制。

为了系统安全，最好尽可能禁用更多服务器程序。这对于网络服务器至关重要。拥有未使用的服务器（直接作为 守护程序 激活或通过 超级服务器 程序激活）被认为是安全风险。

许多程序（如 sshd(8)）使用基于 PAM 的访问控制。有很多方法可以限制对某些服务器服务的访问。

请参阅 第 3.5.3 节，“运行级别管理示例”、第 3.5.4 节，“每个 init 脚本的默认参数”、第 4.5.1 节，“PAM 和 NSS 访问的配置文件”、第 3.5.8 节，“网络服务初始化” 和 第 5.9 节，“Netfilter 基础设施”。

	提示
	Sun RPC 服务需要处于活动状态，才能用于 NFS 和其他基于 RPC 的程序。

	提示
	如果您在最新的 Debian 系统中遇到远程访问问题，请注释掉“/etc/hosts.deny”中冒犯性的配置，例如“ALL: PARANOID”（如果存在）。（但您必须小心此类操作涉及的安全风险。）

许多流行的传输层服务以明文形式通信包含密码身份验证的消息。通过狂野的互联网传输明文密码是非常糟糕的主意，因为它可能会被拦截。您可以通过 “传输层安全”（TLS）或其前身“安全套接字层”（SSL）运行这些服务，以通过加密来保护包括密码在内的整个通信。

加密需要消耗 CPU 时间。作为一种 CPU 友好的替代方案，您可以保持明文通信，同时使用安全身份验证协议（如 POP 的“验证后办公协议”（APOP）和 SMTP 和 IMAP 的“质询-响应身份验证机制 MD5”（CRAM-MD5））仅保护密码。（对于通过互联网从您的邮件客户端向您的邮件服务器发送邮件消息，最近流行使用新的邮件提交端口 587 而不是传统的 SMTP 端口 25，以避免网络提供商阻止端口 25，同时使用 CRAM-MD5 验证您的身份。）

Secure Shell (SSH) 程序在两个不受信任的主机之间通过不安全的网络提供安全的加密通信和安全身份验证。它由 OpenSSH 客户端 ssh(1) 和 OpenSSH 守护程序 sshd(8) 组成。此 SSH 可以用于通过端口转发功能安全地隧道传输不安全协议通信（如 POP 和 X）通过互联网。

客户端尝试使用基于主机的身份验证、公钥身份验证、质询-响应身份验证或密码身份验证来验证自身。使用公钥身份验证可以实现远程无密码登录。请参阅 第 6.9 节，“远程访问服务器和实用程序 (SSH)”。

即使您运行安全服务（如 Secure Shell (SSH) 和 点对点隧道协议 (PPTP) 服务器），仍然存在使用暴力密码猜测攻击等从互联网入侵的机会。使用防火墙策略（请参阅 第 5.9 节，“Netfilter 基础设施”）以及以下安全工具可以改善安全状况。

为了防止人们使用 root 权限访问您的机器，您需要执行以下操作。

通过物理访问硬盘，使用以下步骤重置密码相对容易。

如果您有权编辑启动时 grub-rescue-pc 的 GRUB 菜单项（请参阅 第 3.3 节，“阶段 2：引导加载程序”），则使用以下步骤甚至更容易。

现在无需密码即可访问系统的 root shell。

	注意
	一旦获得 root shell 访问权限，他就可以访问系统上的所有内容并重置系统上的任何密码。此外，他可以使用暴力密码破解工具（如 john 和 crack 软件包）（请参阅 第 9.6.11 节，“系统安全性和完整性检查”）来破解所有用户帐户的密码。这种破解的密码可能会导致其他系统受到威胁。

避免所有这些担忧的唯一合理的软件解决方案是使用软件加密的 root 分区（或“/etc”分区），使用 dm-crypt 和 initramfs（请参阅 第 9.4 节，“数据加密技巧”）。但是，您始终需要密码才能启动系统。