1.一種基于pam模塊的系統分權的方法，其特征在于包括以下三個部分：

特權用戶，為系統設定三個管理類賬戶，root用戶：一般的管理工作；安全管理員用戶：為系統其它用戶或進程設置權力；審計用戶：審計方面工作；

分權模塊，對root用戶進行拆分，并通過權利設置函數為root用戶及另外兩個特權用戶設置系統權限，實現root用戶的權利拆分；

用戶權利配置文件，指明上述三個特權用戶應具有的最小權利集，在可插拔認證的pam模塊認證時供權利設置函數讀取，并且指明pam認證時所使用的pam模塊以進行權利拆分；

在用戶本地登陸或遠程登陸過程中，在pam模塊認證的時候，加入對用戶的判斷，對root用戶進行權力拆分，分別賦予安全管理員用戶和審計用戶以不同的權力，使得root權限最小化。

2.根據權利要求1所述的一種基于pam模塊的系統分權的方法，其特征在于：所述pam模塊包括應用程序層、應用接口層和鑒別模塊層，其中鑒別模塊層處于整個PAM結構的最底層，它向上為應用接口層提供用戶認證鑒別服務；應用接口層位于PAM結構的中間部分，它向上為應用程序屏蔽用戶鑒別過程的具體細節，向下則調用模塊層中的具體模塊所提供的特定服務，它主要由PAM?API和配置文件兩部分組成，其中pam?API實現鑒別過程：

當應用程序調用PAM?API?時，應用接口層按照PAM配置文件的定義來加載相應的認證鑒別模塊，然后把請求傳遞給底層的認證鑒別模塊，認證鑒別模塊根據要求執行具體的認證鑒別操作；

當認證鑒別模塊執行完相應的操作后，再將結果返回給應用接口層，然后由接口層根據配置的具體情況將來自認證鑒別模塊的應答返回給應用程序。

3.根據權利要求2所述的一種基于pam模塊的系統分權的方法，其特征在于：所述鑒別模塊層提供的認證鑒別服務是指：對root用戶進行權力拆分，通過在會話類接口中加入用戶權力設置函數，對root所擁有的權利進行重新設置。

4.根據權利要求2所述的一種基于pam模塊的系統分權的方法，其特征在于：所述應用接口層中的配置文件包括兩種：一種是用戶與權利對應的配置文件，此配置文件用于在為用戶賦予權利時使用，通過讀取此配置文件可以明確不同用戶應賦予的權利，并可以修改某一用戶的權力集；另一種pam模塊的配置文件，需要在此配置文件中指定需要認證的服務，及認證時所用到的pam模塊名。