UNIX上的安全问题及解决方案

CaclMgr是一种类似SUDO的UNIX/LINUX授权软件, 但它比SUDO要安全的多, 也更易使用, 可应用的范围也大的多.
与其它类似软件相比,

• 当您想授权某一用户能以DBA的权限运行某个命令时, 别的软件会要求您使用root用户来进行这一授权, 违反最小授权原则; 而CaclMgr则不同, 您只需使用DBA用户来进行这一授权.
• 别的软件只会记录命令执行的起始时间, 而CaclMgr除了记录命令执行的起始时间, 也会记录命令执行的终止时间. 想想看, 当一个用户用授权软件执行"bash", 如果授权软件只记录命令执行的起始时间,  那您就无法知道机器上三十分钟后所发生的不正常事件是否可能与该用户有关?
• 别的授权软件可能不能让您针对命令来对其所能接受的环境变量及其取值范围进行有效地控制, 而CaclMgr却可以.
• 当您把一个脚本程序授予某个用户可以用root权限执行后, 若该脚本程序发生了变化, 当该目标用户通过授权软件执行该脚本程序时, 别的授权软件可能无法发现脚本程序的变化, 继续给用户root权限执行该程序;  CaclMgr则能发现这一危险, 拒绝执行该程序, 等待root用户确认该变化是合法的, 更新授权纪录.
• 当您用别的授权软件时, 当有用户要求您把象env这样的命令授权他以root权限执行时, 那些授权软件可能并不会向您发出警告, 告诉您这种授权可能产生的危险; CaclMgr则有这样的功能.
• 当您需要为进行授权输入口令时, 别的授权软件无法为您防范任何可能受到的口令窃取攻击, 而CaclMgr则能助您防范他人用系统调用示踪器, dtrace/probevue/systemtap, 读取您的TTY, 用tty输入记录程序, 所进行的攻击. 考虑到用户的系统口令会在别的情况下被窃取，CaclMgr能让您设置其专用密码词组，从而使您的授权代理身份更安全。
• 在系统使用别的授权软件时，任何具有超级用户使用权的人都可通过替换其它系统管理员的密码来以其身份做坏事，陷害其人。