政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Red Hat Enterprise Linux 8 V1.1、9(伺服器)(預告版)v1.0
| 項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
|---|---|---|---|---|
| 1 | TWGCB-01-008-0001 | TWGCB-01-012-0001 | cramfs 檔案系統 | 停用 |
| 2 | TWGCB-01-008-0002 | TWGCB-01-012-0002 | squashfs 檔案系統 | 停用 |
| 3 | TWGCB-01-008-0003 | TWGCB-01-012-0003 | udf 檔案系統 | 停用 |
| 4 | TWGCB-01-008-0004 | TWGCB-01-012-0004 | 設定 /tmp 目錄之檔案系統 | tmpfs |
| 5 | TWGCB-01-008-0005 | TWGCB-01-012-0005 | 設定 /tmp 目錄之 nodev 選項 | 啟用 |
| 6 | TWGCB-01-008-0006 | TWGCB-01-012-0006 | 設定 /tmp 目錄之 nosuid 選項 | 啟用 |
| 7 | TWGCB-01-008-0007 | TWGCB-01-012-0007 | 設定 /tmp 目錄之 noexec 選項 | 啟用 |
| 8 | TWGCB-01-008-0008 | TWGCB-01-012-0008 | 設定 /var 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
| 9 | TWGCB-01-008-0009 | TWGCB-01-012-0009 | 設定 /var/tmp 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
| 10 | TWGCB-01-008-0010 | TWGCB-01-012-0010 | 設定 /var/tmp 目錄之 nodev 選項 | 啟用 |
| 11 | TWGCB-01-008-0011 | TWGCB-01-012-0011 | 設定 /var/tmp 目錄之 nosuid 選項 | 啟用 |
| 12 | TWGCB-01-008-0012 | TWGCB-01-012-0012 | 設定 /var/tmp 目錄之 noexec 選項 | 啟用 |
| 13 | TWGCB-01-008-0013 | TWGCB-01-012-0013 | 設定 /var/log 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
| 14 | TWGCB-01-008-0014 | TWGCB-01-012-0014 | 設定 /var/log/audit 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
| 15 | TWGCB-01-008-0015 | TWGCB-01-012-0015 | 設定 /home 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
| 16 | TWGCB-01-008-0016 | TWGCB-01-012-0016 | 設定 /home 目錄之 nodev 選項 | 啟用 |
| 17 | TWGCB-01-008-0017 | TWGCB-01-012-0017 | 設定 /dev/shm 目錄之 nodev 選項 | 啟用 |
| 18 | TWGCB-01-008-0018 | TWGCB-01-012-0018 | 設定 /dev/shm 目錄之 nosuid 選項 | 啟用 |
| 19 | TWGCB-01-008-0019 | TWGCB-01-012-0019 | 設定 /dev/shm 目錄之 noexec 選項 | 啟用 |
| 20 | TWGCB-01-008-0020 | TWGCB-01-012-0020 | 設定可攜式儲存裝置之 nodev 選項 | 啟用 |
| 21 | TWGCB-01-008-0021 | TWGCB-01-012-0021 | 設定可攜式儲存裝置之 nosuid 選項 | 啟用 |
| 22 | TWGCB-01-008-0022 | TWGCB-01-012-0022 | 設定可攜式儲存裝置之 noexec 選項 | 啟用 |
| 23 | TWGCB-01-008-0023 | TWGCB-01-012-0023 | 設定使用者家目錄之 nodev 選項 | 啟用 |
| 24 | TWGCB-01-008-0024 | TWGCB-01-012-0024 | 設定使用者家目錄之 nosuid 選項 | 啟用 |
| 25 | TWGCB-01-008-0025 | TWGCB-01-012-0025 | 設定使用者家目錄之 noexec 選項 | 啟用 |
| 26 | TWGCB-01-008-0026 | TWGCB-01-012-0026 | 設定 NFS 檔案系統之 nodev 選項 | 啟用 |
| 27 | TWGCB-01-008-0027 | TWGCB-01-012-0027 | 設定 NFS 檔案系統之 nosuid 選項 | 啟用 |
| 28 | TWGCB-01-008-0028 | TWGCB-01-012-0028 | 設定 NFS 檔案系統之 noexec 選項 | 啟用 |
| 29 | TWGCB-01-008-0029 | TWGCB-01-012-0029 | 設定全域寫入權限目錄之粘滯位 | 設定粘滯位 |
| 30 | TWGCB-01-008-0030 | TWGCB-01-012-0030 | autofs 服務 | 停用 |
| 31 | TWGCB-01-008-0031 | TWGCB-01-012-0031 | USB 儲存裝置 | 停用 |
| 32 | TWGCB-01-008-0032 | TWGCB-01-012-0032 | GPG 簽章驗證 | 1 |
| 33 | TWGCB-01-008-0033 | TWGCB-01-012-0033 | sudo 套件 | 安裝 |
| 34 | TWGCB-01-008-0034 | TWGCB-01-012-0034 | 設定 sudo 指令使用 pty | Defaults use_pty |
| 35 | TWGCB-01-008-0035 | TWGCB-01-012-0035 | sudo 自定義日誌檔案 | 啟用 |
| 36 | TWGCB-01-008-0036 | TWGCB-01-012-0036 | AIDE 套件 | 安裝 |
| 37 | TWGCB-01-008-0037 | TWGCB-01-012-0037 | 定期檢查檔案系統完整性 | 每天 |
| 38 | TWGCB-01-008-0038 | TWGCB-01-012-0038 | 開機載入程式設定檔之所有權 | root:root |
| 39 | TWGCB-01-008-0039 | TWGCB-01-012-0039 | 開機載入程式設定檔之權限 | 600 或更低權限 |
| 40 | TWGCB-01-008-0040 | TWGCB-01-012-0040 | 開機載入程式之通行碼 | 設定通行碼 |
| 41 | TWGCB-01-008-0041 | TWGCB-01-012-0041 | 單一使用者模式身分鑑別 | 啟用 |
| 42 | TWGCB-01-008-0042 | TWGCB-01-012-0042 | 核心傾印功能 | 停用 |
| 43 | TWGCB-01-008-0043 | TWGCB-01-012-0043 | 記憶體位址空間配置隨機載入 | 2 |
| 44 | TWGCB-01-008-0044 | TWGCB-01-012-0044 | 設定全系統加密原則 | FUTURE 或 FIPS |
| 45 | TWGCB-01-008-0045 | TWGCB-01-012-0045 | /etc/passwd 檔案所有權 | root:root |
| 46 | TWGCB-01-008-0046 | TWGCB-01-012-0046 | /etc/passwd 檔案權限 | 644 或更低權限 |
| 47 | TWGCB-01-008-0047 | TWGCB-01-012-0047 | /etc/shadow 檔案所有權 | root:root 或 root:shadow |
| 48 | TWGCB-01-008-0048 | TWGCB-01-012-0048 | /etc/shadow 檔案權限 | 000 |
| 49 | TWGCB-01-008-0049 | TWGCB-01-012-0049 | /etc/group 檔案所有權 | root:root |
| 50 | TWGCB-01-008-0050 | TWGCB-01-012-0050 | /etc/group 檔案權限 | 644 或更低權限 |
| 51 | TWGCB-01-008-0051 | TWGCB-01-012-0051 | /etc/gshadow 檔案所有權 | root:root 或 root:shadow |
| 52 | TWGCB-01-008-0052 | TWGCB-01-012-0052 | /etc/gshadow 檔案權限 | 000 |
| 53 | TWGCB-01-008-0053 | TWGCB-01-012-0053 | /etc/passwd- 檔案所有權 | root:root |
| 54 | TWGCB-01-008-0054 | TWGCB-01-012-0054 | /etc/passwd- 檔案權限 | 644 或更低權限 |
| 55 | TWGCB-01-008-0055 | TWGCB-01-012-0055 | /etc/shadow- 檔案所有權 | root:root 或 root:shadow |
| 56 | TWGCB-01-008-0056 | TWGCB-01-012-0056 | /etc/shadow- 檔案權限 | 000 |
| 57 | TWGCB-01-008-0057 | TWGCB-01-012-0057 | /etc/group- 檔案所有權 | root:root |
| 58 | TWGCB-01-008-0058 | TWGCB-01-012-0058 | /etc/group- 檔案權限 | 644 或更低權限 |
| 59 | TWGCB-01-008-0059 | TWGCB-01-012-0059 | /etc/gshadow- 檔案所有權 | root:root 或 root:shadow |
| 60 | TWGCB-01-008-0060 | TWGCB-01-012-0060 | /etc/gshadow- 檔案權限 | 000 |
| 61 | TWGCB-01-008-0061 | TWGCB-01-012-0061 | 其他使用者寫入具有全域寫入權限的檔案 | 禁止寫入 |
| 62 | TWGCB-01-008-0062 | TWGCB-01-012-0062 | 檢查所有檔案與目錄之擁有者 | 所有檔案與目錄擁有者皆為合法使用者 |
| 63 | TWGCB-01-008-0063 | TWGCB-01-012-0063 | 檢查所有檔案與目錄之擁有群組 | 所有檔案與目錄擁有群組皆為合法群組 |
| 64 | TWGCB-01-008-0064 | TWGCB-01-012-0064 | 所有具有全域寫入權限目錄之擁有者 | root 或其他系統帳號 |
| 65 | TWGCB-01-008-0065 | TWGCB-01-012-0065 | 所有具有全域寫入權限目錄之擁有群組 | root 或其他系統群組 |
| 66 | TWGCB-01-008-0066 | TWGCB-01-012-0066 | 系統命令檔案權限 | 755 或更低權限 |
| 67 | TWGCB-01-008-0067 | TWGCB-01-012-0067 | 系統命令檔案擁有者 | root |
| 68 | TWGCB-01-008-0068 | TWGCB-01-012-0068 | 系統命令檔案擁有群組 | root |
| 69 | TWGCB-01-008-0069 | TWGCB-01-012-0069 | 程式庫檔案權限 | 755 或更低權限 |
| 70 | TWGCB-01-008-0070 | TWGCB-01-012-0070 | 程式庫檔案擁有者 | root |
| 71 | TWGCB-01-008-0071 | TWGCB-01-012-0071 | 程式庫檔案擁有群組 | root |
| 72 | TWGCB-01-008-0072 | TWGCB-01-012-0072 | 帳號不使用空白密碼 | 帳號必須具有密碼或被鎖定 |
| 73 | TWGCB-01-008-0073 | TWGCB-01-012-0073 | root 帳號的路徑變數 | 不允許「.」、「..」、路徑開頭不是「/」及空元素 |
| 74 | TWGCB-01-008-0074 | TWGCB-01-012-0074 | root 帳號的路徑變數不包含 world-writable 或group-writable 目錄 | 不包含 world-writable 或 group-writable 目錄 |
| 75 | TWGCB-01-008-0075 | TWGCB-01-012-0075 | /etc/passwd 檔案行首的「+」符號 | 禁止 |
| 76 | TWGCB-01-008-0076 | TWGCB-01-012-0076 | /etc/shadow 檔案行首的「+」符號 | 禁止 |
| 77 | TWGCB-01-008-0077 | TWGCB-01-012-0077 | /etc/group 檔案行首的「+」符號 | 禁止 |
| 78 | TWGCB-01-008-0078 | TWGCB-01-012-0078 | UID=0 之帳號 | 僅 root 帳號之 UID 為 0 |
| 79 | TWGCB-01-008-0079 | TWGCB-01-012-0079 | 使用者家目錄權限 | 700 或更低權限 |
| 80 | TWGCB-01-008-0080 | TWGCB-01-012-0080 | 使用者家目錄擁有者 | 使用者擁有 |
| 81 | TWGCB-01-008-0081 | TWGCB-01-012-0081 | 使用者家目錄擁有群組 | 使用者群組擁有 |
| 82 | TWGCB-01-008-0082 | TWGCB-01-012-0082 | 使用者家目錄的「.」檔案權限 | go-w 或更低權限 |
| 83 | TWGCB-01-008-0083 | TWGCB-01-012-0083 | 使用者家目錄的「.forward」檔案 | 移除 |
| 84 | TWGCB-01-008-0084 | TWGCB-01-012-0084 | 使用者家目錄的「.netrc」檔案 | 移除 |
| 85 | TWGCB-01-008-0085 | TWGCB-01-012-0085 | 使用者家目錄的「.rhosts」檔案 | 移除 |
| 86 | TWGCB-01-008-0086 | TWGCB-01-012-0086 | 檢查 /etc/passwd 檔案設定的群組 | /etc/passwd 檔案中帳號的群組皆須存在於 /etc/group 檔案中 |
| 87 | TWGCB-01-008-0087 | TWGCB-01-012-0087 | 唯一的 UID | 為每個帳號設定唯一的 UID |
| 88 | TWGCB-01-008-0088 | TWGCB-01-012-0088 | 唯一的 GID | 為每個群組設定唯一的 GID |
| 89 | TWGCB-01-008-0089 | TWGCB-01-012-0089 | 唯一的使用者帳號名稱 | 為每個使用者帳號設定唯一的名稱 |
| 90 | TWGCB-01-008-0090 | TWGCB-01-012-0090 | 唯一的群組名稱 | 為每個群組設定唯一的群組名稱 |
| 91 | TWGCB-01-008-0091 | TWGCB-01-012-0091 | shadow 群組成員 | shadow 群組不包含任何使用者 |
| 92 | TWGCB-01-008-0092 | TWGCB-01-012-0092 | xinetd 套件 | 移除 |
| 93 | TWGCB-01-008-0093 | TWGCB-01-012-0093 | chrony 校時設定 | 設定 1 個以上校時來源 |
| 94 | TWGCB-01-008-0094 | TWGCB-01-012-0094 | rsyncd 服務 | 停用 |
| 95 | TWGCB-01-008-0095 | TWGCB-01-012-0095 | avahi-daemon 服務 | 停用 |
| 96 | TWGCB-01-008-0096 | TWGCB-01-012-0096 | SNMP 服務 | 停用 SNMP 服務或僅啟用 SNMPv3 功能 |
| 97 | TWGCB-01-008-0097 | TWGCB-01-012-0097 | Squid 服務 | 停用 |
| 98 | TWGCB-01-008-0098 | TWGCB-01-012-0098 | Samba 服務 | 停用 |
| 99 | TWGCB-01-008-0099 | TWGCB-01-012-0099 | FTP 伺服器 | 停用 |
| 100 | TWGCB-01-008-0100 | TWGCB-01-012-0100 | NIS 伺服器 | 停用 |
| 101 | TWGCB-01-008-0101 | TWGCB-01-012-0101 | kdump 服務 | 啟用 |
| 102 | TWGCB-01-008-0102 | TWGCB-01-012-0102 | NIS 用戶端套件 | 移除 |
| 103 | TWGCB-01-008-0103 | TWGCB-01-012-0103 | telnet 用戶端套件 | 移除 |
| 104 | TWGCB-01-008-0104 | TWGCB-01-012-0104 | telnet 伺服器套件 | 移除 |
| 105 | TWGCB-01-008-0105 | TWGCB-01-012-0105 | rsh 伺服器套件 | 移除 |
| 106 | TWGCB-01-008-0106 | TWGCB-01-012-0106 | tftp 伺服器套件 | 移除 |
| 107 | TWGCB-01-008-0107 | TWGCB-01-012-0107 | 更新套件後移除舊版本元件 | True |
| 108 | TWGCB-01-008-0108 | TWGCB-01-012-0108 | IP 轉送 | 0 |
| 109 | TWGCB-01-008-0109 | TWGCB-01-012-0109 | 所有網路介面傳送 ICMP 重新導向封包 | 0 |
| 110 | TWGCB-01-008-0110 | TWGCB-01-012-0110 | 預設網路介面禁止傳送 ICMP 重新導向封包 | 0 |
| 111 | TWGCB-01-008-0111 | TWGCB-01-012-0111 | 所有網路介面阻擋來源路由封包 | 0 |
| 112 | TWGCB-01-008-0112 | TWGCB-01-012-0112 | 預設網路介面阻擋來源路由封包 | 0 |
| 113 | TWGCB-01-008-0113 | TWGCB-01-012-0113 | 所有網路介面阻擋 ICMP 重新導向封包 | 0 |
| 114 | TWGCB-01-008-0114 | TWGCB-01-012-0114 | 預設網路介面阻擋 ICMP 重新導向封包 | 0 |
| 115 | TWGCB-01-008-0115 | TWGCB-01-012-0115 | 所有網路介面阻擋安全之 ICMP 重新導向封包 | 0 |
| 116 | TWGCB-01-008-0116 | TWGCB-01-012-0116 | 預設網路介面阻擋安全之 ICMP 重新導向封包 | 0 |
| 117 | TWGCB-01-008-0117 | TWGCB-01-012-0117 | 所有網路介面記錄可疑封包 | 1 |
| 118 | TWGCB-01-008-0118 | TWGCB-01-012-0118 | 預設網路介面記錄可疑封包 | 1 |
| 119 | TWGCB-01-008-0119 | TWGCB-01-012-0119 | 不回應 ICMP 廣播要求 | 1 |
| 120 | TWGCB-01-008-0120 | TWGCB-01-012-0120 | 忽略偽造之 ICMP 錯誤訊息 | 1 |
| 121 | TWGCB-01-008-0121 | TWGCB-01-012-0121 | 所有網路介面啟用逆向路徑過濾功能 | 1 |
| 122 | TWGCB-01-008-0122 | TWGCB-01-012-0122 | 預設網路介面啟用逆向路徑過濾功能 | 1 |
| 123 | TWGCB-01-008-0123 | TWGCB-01-012-0123 | TCP SYN cookies | 1 |
| 124 | TWGCB-01-008-0124 | TWGCB-01-012-0124 | 所有網路介面阻擋 IPv6 路由器公告訊息 | 0 |
| 125 | TWGCB-01-008-0125 | TWGCB-01-012-0125 | 預設網路介面阻擋 IPv6 路由器公告訊息 | 0 |
| 126 | TWGCB-01-008-0126 | TWGCB-01-012-0126 | DCCP 協定 | 停用 |
| 127 | TWGCB-01-008-0127 | TWGCB-01-012-0127 | SCTP 協定 | 停用 |
| 128 | TWGCB-01-008-0128 | TWGCB-01-012-0128 | RDS 協定 | 停用 |
| 129 | TWGCB-01-008-0129 | TWGCB-01-012-0129 | TIPC 協定 | 停用 |
| 130 | TWGCB-01-008-0130 | TWGCB-01-012-0130 | 無線網路介面 | 停用 |
| 131 | TWGCB-01-008-0131 | TWGCB-01-012-0131 | 網路介面混雜模式 | 停用 |
| 132 | TWGCB-01-008-0132 | TWGCB-01-012-0132 | auditd 套件 | 安裝 |
| 133 | TWGCB-01-008-0133 | TWGCB-01-012-0133 | auditd 服務 | 啟用 |
| 134 | TWGCB-01-008-0134 | TWGCB-01-012-0134 | 稽核 auditd 服務啟動前之程序 | 啟用 |
| 135 | TWGCB-01-008-0135 | TWGCB-01-012-0135 | 稽核待辦事項數量限制 | 8,192 以上 |
| 136 | TWGCB-01-008-0136 | TWGCB-01-012-0136 | 稽核處理失敗時通知系統管理者 | 啟用 |
| 137 | TWGCB-01-008-0137 | TWGCB-01-012-0137 | 稽核日誌檔案所有權 | root:root |
| 138 | TWGCB-01-008-0138 | TWGCB-01-012-0138 | 稽核日誌檔案權限 | 600 或更低權限 |
| 139 | TWGCB-01-008-0139 | TWGCB-01-012-0139 | 稽核日誌目錄所有權 | root:root |
| 140 | TWGCB-01-008-0140 | TWGCB-01-012-0140 | 稽核日誌目錄權限 | Linux 8: 600 或更低權限 Linux 9: 700 或更低權限 |
| 141 | TWGCB-01-008-0141 | TWGCB-01-012-0141 | 稽核規則檔案權限 | 600 或更低權限 |
| 142 | TWGCB-01-008-0142 | TWGCB-01-012-0142 | 稽核設定檔案權限 | 640 或更低權限 |
| 143 | TWGCB-01-008-0143 | TWGCB-01-012-0143 | 稽核工具權限 | 750 或更低權限 |
| 144 | TWGCB-01-008-0144 | TWGCB-01-012-0144 | 稽核工具所有權 | root:root |
| 145 | TWGCB-01-008-0145 | TWGCB-01-012-0145 | 保護稽核工具 | 啟用 |
| 146 | TWGCB-01-008-0146 | TWGCB-01-012-0146 | 稽核日誌檔案大小上限 | 32 以上 |
| 147 | TWGCB-01-008-0147 | TWGCB-01-012-0147 | 稽核日誌達到其檔案大小上限之行為 | keep_logs |
| 148 | TWGCB-01-008-0148 | TWGCB-01-012-0148 | 記錄系統管理者活動 | 啟用 |
| 149 | TWGCB-01-008-0149 | TWGCB-01-012-0149 | 記錄變更登入與登出資訊事件 | 啟用 |
| 150 | TWGCB-01-008-0150 | TWGCB-01-012-0150 | 記錄會談啟始資訊 | 啟用 |
| 151 | TWGCB-01-008-0151 | TWGCB-01-012-0151 | 記錄變更日期與時間事件 | 啟用 |
| 152 | TWGCB-01-008-0152 | TWGCB-01-012-0152 | 記錄變更系統強制存取控制事件 | 啟用 |
| 153 | TWGCB-01-008-0153 | TWGCB-01-012-0153 | 記錄變更系統網路環境事件 | 啟用 |
| 154 | TWGCB-01-008-0154 | TWGCB-01-012-0154 | 記錄變更自主存取控制權限事件 | 啟用 |
| 155 | TWGCB-01-008-0155 | TWGCB-01-012-0155 | 記錄不成功之未經授權檔案存取 | 啟用 |
| 156 | TWGCB-01-008-0156 | TWGCB-01-012-0156 | 記錄變更使用者或群組資訊事件 | 啟用 |
| 157 | TWGCB-01-008-0157 | TWGCB-01-012-0157 | 記錄變更檔案系統掛載事件 | 啟用 |
| 158 | TWGCB-01-008-0158 | TWGCB-01-012-0158 | 記錄特權指令使用情形 | 啟用 |
| 159 | TWGCB-01-008-0159 | TWGCB-01-012-0159 | 記錄檔案刪除事件 | 啟用 |
| 160 | TWGCB-01-008-0160 | TWGCB-01-012-0160 | 記錄核心模組掛載與卸載事件 | 啟用 |
| 161 | TWGCB-01-008-0161 | TWGCB-01-012-0161 | 記錄系統管理者活動日誌變更 | 啟用 |
| 162 | TWGCB-01-008-0162 | TWGCB-01-012-0162 | 記錄 chcon 指令使用情形 | 啟用 |
| 163 | TWGCB-01-008-0163 | TWGCB-01-012-0163 | 記錄 ssh-agent 程序使用情形 | 啟用 |
| 164 | TWGCB-01-008-0164 | TWGCB-01-012-0164 | 記錄 unix_update 程序使用情形 | 啟用 |
| 165 | TWGCB-01-008-0165 | TWGCB-01-012-0165 | 記錄 setfacl 指令使用情形 | 啟用 |
| 166 | TWGCB-01-008-0166 | TWGCB-01-012-0166 | 記錄 finit_module 指令使用情形 | 啟用 |
| 167 | TWGCB-01-008-0167 | TWGCB-01-012-0167 | 記錄 open_by_handle_at 系統呼叫使用情形 | 啟用 |
| 168 | TWGCB-01-008-0168 | TWGCB-01-012-0168 | 記錄 usermod 指令使用情形 | 啟用 |
| 169 | TWGCB-01-008-0169 | TWGCB-01-012-0169 | 記錄 chacl 指令使用情形 | 啟用 |
| 170 | TWGCB-01-008-0170 | TWGCB-01-012-0170 | 記錄 kmod 指令使用情形 | 啟用 |
| 171 | TWGCB-01-008-0171 | TWGCB-01-012-0171 | 記錄 Pam_Faillock 日誌檔案 | 啟用 |
| 172 | TWGCB-01-008-0172 | TWGCB-01-012-0172 | 記錄 execve 系統呼叫使用情形 | 啟用 |
| 173 | TWGCB-01-008-0173 | TWGCB-01-012-0173 | auditd 設定不變模式 | 2 |
| 174 | TWGCB-01-008-0174 | TWGCB-01-012-0174 | rsyslog 套件 | 安裝 |
| 175 | TWGCB-01-008-0175 | TWGCB-01-012-0175 | rsyslog 服務 | 啟用 |
| 176 | TWGCB-01-008-0176 | TWGCB-01-012-0176 | 設定 rsyslog 日誌檔案預設權限 | 0640 或更低權限 |
| 177 | TWGCB-01-008-0177 | TWGCB-01-012-0177 | 設定 rsyslog 日誌記錄規則 | auth、authpriv 及 daemon |
| 178 | TWGCB-01-008-0178 | TWGCB-01-012-0178 | /var/log/messages 檔案所有權 | root:root |
| 179 | TWGCB-01-008-0179 | TWGCB-01-012-0179 | /var/log 目錄所有權 | root:root |
| 180 | TWGCB-01-008-0180 | TWGCB-01-012-0180 | 設定 journald 將日誌發送到 rsyslog | yes |
| 181 | TWGCB-01-008-0181 | TWGCB-01-012-0181 | 設定 journald 壓縮日誌檔案 | yes |
| 182 | TWGCB-01-008-0182 | TWGCB-01-012-0182 | 設定 journald 將日誌檔案永久保存於磁碟 | persistent |
| 183 | 於 v1.1 已移除的政策 | TWGCB-01-012-0183 | 設定 /var/log 目錄下所有日誌檔案權限 | g-wx, o-rwx 或更低權限 |
| 184 | 於 v1.1 已移除的政策 | 設定 /var/log 目錄下所有日誌目錄權限 | g-w, o-rwx 或更低權限 | |
| 185 | TWGCB-01-008-0185 | TWGCB-01-012-0184 | SELinux 套件 | 安裝 |
| 186 | TWGCB-01-008-0186 | TWGCB-01-012-0185 | 開機載入程式啟用 SELinux | 啟用 |
| 187 | TWGCB-01-008-0187 | TWGCB-01-012-0186 | SELinux 政策 | targeted 或更嚴格之政策 |
| 188 | TWGCB-01-008-0188 | TWGCB-01-012-0187 | SELinux 啟用狀態 | enforcing |
| 189 | TWGCB-01-008-0189 | TWGCB-01-012-0188 | 未受限程序 | 無未受限程序 |
| 190 | TWGCB-01-008-0190 | TWGCB-01-012-0189 | setroubleshoot 套件 | 移除 |
| 191 | TWGCB-01-008-0191 | TWGCB-01-012-0190 | mcstrans 套件 | 移除 |
| 192 | TWGCB-01-008-0192 | TWGCB-01-012-0191 | cron 守護程序 | 啟用 |
| 193 | TWGCB-01-008-0193 | TWGCB-01-012-0192 | /etc/crontab 檔案所有權 | root:root |
| 194 | TWGCB-01-008-0194 | TWGCB-01-012-0193 | /etc/crontab 檔案權限 | 600 或更低權限 |
| 195 | TWGCB-01-008-0195 | TWGCB-01-012-0194 | /etc/cron.hourly 目錄所有權 | root:root |
| 196 | TWGCB-01-008-0196 | TWGCB-01-012-0195 | /etc/cron.hourly 目錄權限 | 700 或更低權限 |
| 197 | TWGCB-01-008-0197 | TWGCB-01-012-0196 | /etc/cron.daily 目錄所有權 | root:root |
| 198 | TWGCB-01-008-0198 | TWGCB-01-012-0197 | /etc/cron.daily 目錄權限 | 700 或更低權限 |
| 199 | TWGCB-01-008-0199 | TWGCB-01-012-0198 | /etc/cron.weekly 目錄所有權 | root:root |
| 200 | TWGCB-01-008-0200 | TWGCB-01-012-0199 | /etc/cron.weekly 目錄權限 | 700 或更低權限 |
| 201 | TWGCB-01-008-0201 | TWGCB-01-012-0200 | /etc/cron.monthly 目錄所有權 | root:root |
| 202 | TWGCB-01-008-0202 | TWGCB-01-012-0201 | /etc/cron.monthly 目錄權限 | 700 或更低權限 |
| 203 | TWGCB-01-008-0203 | TWGCB-01-012-0202 | /etc/cron.d 目錄所有權 | root:root |
| 204 | TWGCB-01-008-0204 | TWGCB-01-012-0203 | /etc/cron.d 目錄權限 | 700 或更低權限 |
| 205 | TWGCB-01-008-0205 | TWGCB-01-012-0204 | at.allow 與 cron.allow 檔案所有權 | root:root |
| 206 | TWGCB-01-008-0206 | TWGCB-01-012-0205 | at.allow 與 cron.allow 檔案權限 | 600 或更低權限 |
| 207 | TWGCB-01-008-0207 | TWGCB-01-012-0206 | cron 日誌記錄功能 | 啟用 |
| 208 | TWGCB-01-008-0208 | TWGCB-01-012-0207 | 可設定密碼次數 | 3 以下,但須大於 0 |
| 209 | TWGCB-01-008-0209 | TWGCB-01-012-0208 | 強制 root 密碼須符合密碼規則 | 啟用 |
| 210 | TWGCB-01-008-0210 | TWGCB-01-012-0209 | 密碼最小長度 | 12 個字元以上 |
| 211 | TWGCB-01-008-0211 | TWGCB-01-012-0210 | 密碼必須至少包含字元類別數量 | 4 |
| 212 | TWGCB-01-008-0212 | TWGCB-01-012-0211 | 密碼必須至少包含數字個數 | 1 個以上 |
| 213 | TWGCB-01-008-0213 | TWGCB-01-012-0212 | 密碼必須至少包含大寫字母個數 | 1 個以上 |
| 214 | TWGCB-01-008-0214 | TWGCB-01-012-0213 | 密碼必須至少包含小寫字母個數 | 1 個以上 |
| 215 | TWGCB-01-008-0215 | TWGCB-01-012-0214 | 密碼必須至少包含特殊字元個數 | 1 個以上 |
| 216 | TWGCB-01-008-0216 | TWGCB-01-012-0215 | 新密碼與舊密碼最少相異字元數 | 3 以上 |
| 217 | TWGCB-01-008-0217 | TWGCB-01-012-0216 | 同一類別字元可連續使用個數 | 4 以下,但須大於 0 |
| 218 | TWGCB-01-008-0218 | TWGCB-01-012-0217 | 相同字元可連續使用個數 | 3 以下,但須大於 0 |
| 219 | TWGCB-01-008-0219 | TWGCB-01-012-0218 | 必須禁止使用字典檔單字做為密碼 | 1 |
| 220 | TWGCB-01-008-0220 | TWGCB-01-012-0219 | 帳戶鎖定閾值 | 5 次以下,但須大於 0 |
| 221 | TWGCB-01-008-0221 | TWGCB-01-012-0220 | 帳戶鎖定時間 | 900 秒以上 |
| 222 | TWGCB-01-008-0222 | TWGCB-01-012-0221 | 強制執行密碼歷程記錄 | 3 以上 |
| 223 | TWGCB-01-008-0223 | TWGCB-01-012-0222 | 顯示登入失敗次數與日期 | 啟用 |
| 224 | TWGCB-01-008-0224 | TWGCB-01-012-0223 | 密碼雜湊演算法 | SHA512 |
| 225 | TWGCB-01-008-0225 | TWGCB-01-012-0224 | 通行碼最短使用期限 | 1 天以上 |
| 226 | TWGCB-01-008-0226 | TWGCB-01-012-0225 | 通行碼到期前提醒使用者變更通行碼 | 14 天以上 |
| 227 | TWGCB-01-008-0227 | TWGCB-01-012-0226 | 通行碼最長使用期限 | 90 天以下,但須大於 0 |
| 228 | TWGCB-01-008-0228 | TWGCB-01-012-0227 | 通行碼到期後,帳號停用前之天數 | 30 天以下,但須大於 0 |
| 229 | TWGCB-01-008-0229 | TWGCB-01-012-0228 | 登入嘗試失敗之延遲時間 | 4 秒以上 |
| 230 | TWGCB-01-008-0230 | TWGCB-01-012-0229 | 新使用者帳號預設建立使用者家目錄 | yes |
| 231 | TWGCB-01-008-0231 | TWGCB-01-012-0230 | 要求使用者必須經過身分驗證才能提升權限 | 要求身分驗證 |
| 232 | TWGCB-01-008-0232 | TWGCB-01-012-0231 | 限制每個帳號可同時登入之數量 | 10 以下,但須大於 0 |
| 233 | TWGCB-01-008-0233 | TWGCB-01-012-0232 | kbd 套件 | 安裝 |
| 234 | TWGCB-01-008-0234 | TWGCB-01-012-0233 | 使用者會談鎖定 | 啟用 |
| 235 | TWGCB-01-008-0235 | TWGCB-01-012-0234 | GNOME 使用者會談逾時時間 | 900 秒以下,但須大於 0 |
| 236 | TWGCB-01-008-0236 | TWGCB-01-012-0235 | 禁止 GNOME 使用者自動登入 | false |
| 237 | TWGCB-01-008-0237 | TWGCB-01-012-0236 | 系統帳號登入方式 | nologin |
| 238 | TWGCB-01-008-0238 | TWGCB-01-012-0237 | Bash shell 閒置時登出時間 | 900 秒以下,但須大於 0 |
| 239 | TWGCB-01-008-0239 | TWGCB-01-012-0238 | 防止修改圖形使用者介面 (GUI) 設定 | 啟用 |
| 240 | TWGCB-01-008-0240 | TWGCB-01-012-0239 | root 帳號所屬群組 | GID 0 |
| 241 | TWGCB-01-008-0241 | TWGCB-01-012-0240 | 所有使用者帳號的預設 umask | 027 或更低權限 |
| 242 | TWGCB-01-008-0242 | TWGCB-01-012-0241 | 在 /etc/login.defs 設定所有使用者的預設 umask | 027 或更低權限 |
| 243 | TWGCB-01-008-0243 | TWGCB-01-012-0242 | 可使用 su 指令之群組 | 僅限 wheel 群組才能使用 su 指令 |
| 項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
|---|---|---|---|---|
| 244 | TWGCB-01-008-0244 | TWGCB-01-012-0243 | firewalld 防火牆套件 | 安裝 |
| 245 | TWGCB-01-008-0245 | TWGCB-01-012-0244 | firewalld 服務 | 啟用 |
| 246 | TWGCB-01-008-0246 | TWGCB-01-012-0245 | iptables 服務 | 停用 |
| 247 | TWGCB-01-008-0247 | TWGCB-01-012-0246 | nftables 服務 | 停用 |
| 248 | TWGCB-01-008-0248 | TWGCB-01-012-0247 | firewalld 防火牆預設區域 | 須設定預設區域 |
| 項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
|---|---|---|---|---|
| 249 | TWGCB-01-008-0249 | TWGCB-01-012-0248 | nftables 服務 | 啟用 |
| 250 | TWGCB-01-008-0250 | TWGCB-01-012-0249 | firewalld 服務 | 停用 |
| 251 | TWGCB-01-008-0251 | TWGCB-01-012-0250 | 在 nftables 中建立表 | 1 個以上 |
| 252 | TWGCB-01-008-0252 | TWGCB-01-012-0251 | 在 nftables 建立基本鏈 | 1 個以上 |
| 253 | TWGCB-01-008-0253 | TWGCB-01-012-0252 | 在 nftables 設定回送流量規則 | 建立回送流量規則 |
| 254 | TWGCB-01-008-0254 | TWGCB-01-012-0253 | 在 nftables 建立預設拒絕規則 | Drop |
| 255 | TWGCB-01-008-0255 | TWGCB-01-012-0254 | 載入 nftables 規則 | 開機時自動載入 nftables 規則集 |
| 項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
|---|---|---|---|---|
| 256 | TWGCB-01-008-0256 | iptables 服務 | 啟用 | |
| 257 | TWGCB-01-008-0257 | firewalld 服務 | 停用 | |
| 258 | TWGCB-01-008-0258 | 在 iptables 建立預設拒絕規則 | Drop | |
| 259 | TWGCB-01-008-0259 | 在 iptables 設定回送流量規則 | 建立回送流量規則 | |
| 260 | TWGCB-01-008-0260 | 在 ip6tables 建立預設拒絕規則 | Drop | |
| 261 | TWGCB-01-008-0261 | 在 ip6tables 設定回送流量規則 | 建立回送流量規則 |
| 項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
|---|---|---|---|---|
| 262 | TWGCB-01-008-0262 | TWGCB-01-012-0255 | sshd 守護程序 | 啟用 |
| 263 | TWGCB-01-008-0263 | TWGCB-01-012-0256 | SSH 協定版本 | Protocol 2 |
| 264 | TWGCB-01-008-0264 | TWGCB-01-012-0257 | /etc/ssh/sshd_config 檔案所有權 | root:root |
| 265 | TWGCB-01-008-0265 | TWGCB-01-012-0258 | /etc/ssh/sshd_config 檔案權限 | 600 或更低權限 |
| 266 | TWGCB-01-008-0266 | TWGCB-01-012-0259 | 限制存取 SSH | 啟用 |
| 267 | TWGCB-01-008-0267 | TWGCB-01-012-0260 | SSH 主機私鑰檔案所有權 | Linux 8: root:root Linux 9: root:ssh_keys |
| 268 | TWGCB-01-008-0268 | TWGCB-01-012-0261 | SSH 主機私鑰檔案權限 | Linux 8: 600 或更低權限 Linux 9: 640或更低權限 |
| 269 | TWGCB-01-008-0269 | TWGCB-01-012-0262 | SSH 主機公鑰檔案所有權 | root:root |
| 270 | TWGCB-01-008-0270 | TWGCB-01-012-0263 | SSH 主機公鑰檔案權限 | 644 或更低權限 |
| 271 | TWGCB-01-008-0271 | TWGCB-01-012-0264 | SSH 加密演算法 | aes128-ctr,aes192-ctr,aes256-ctr |
| 272 | TWGCB-01-008-0272 | TWGCB-01-012-0265 | SSH 日誌記錄等級 | VERBOSE 或 INFO |
| 273 | TWGCB-01-008-0273 | TWGCB-01-012-0266 | SSH X11Forwarding 功能 | no |
| 274 | TWGCB-01-008-0274 | TWGCB-01-012-0267 | SSH MaxAuthTries 參數 | 4 以下,但須大於 0 |
| 275 | TWGCB-01-008-0275 | TWGCB-01-012-0268 | SSH IgnoreRhosts 參數 | yes |
| 276 | TWGCB-01-008-0276 | TWGCB-01-012-0269 | SSH HostbasedAuthentication 參數 | no |
| 277 | TWGCB-01-008-0277 | TWGCB-01-012-0270 | SSH PermitRootLogin 參數 | no |
| 278 | TWGCB-01-008-0278 | TWGCB-01-012-0271 | SSH PermitEmptyPasswords 參數 | no |
| 279 | TWGCB-01-008-0279 | TWGCB-01-012-0272 | SSH PermitUserEnvironment 參數 | no |
| 280 | TWGCB-01-008-0280 | TWGCB-01-012-0273 | SSH 逾時時間 | ClientAliveInterval 設為 600 以下,但須大於 0,且 ClientAliveCountMax 設為 0 |
| 281 | TWGCB-01-008-0281 | TWGCB-01-012-0274 | SSH LoginGraceTime 參數 | 60 以下,但須大於 0 |
| 282 | TWGCB-01-008-0282 | TWGCB-01-012-0275 | SSH UsePAM 參數 | yes |
| 283 | TWGCB-01-008-0283 | TWGCB-01-012-0276 | SSH AllowTcpForwarding 參數 | no |
| 284 | TWGCB-01-008-0284 | TWGCB-01-012-0277 | SSH MaxStartups 參數 | 10:30:60 |
| 285 | TWGCB-01-008-0285 | TWGCB-01-012-0278 | SSH MaxSessions 參數 | 4 以下,但須大於 0 |
| 286 | TWGCB-01-008-0286 | TWGCB-01-012-0279 | SSH StrictModes 參數 | yes |
| 287 | TWGCB-01-008-0287 | TWGCB-01-012-0280 | SSH Compression 參數 | delayed 或 no |
| 288 | TWGCB-01-008-0288 | TWGCB-01-012-0281 | SSH IgnoreUserKnownHosts 參數 | yes |
| 289 | TWGCB-01-008-0289 | TWGCB-01-012-0282 | SSH PrintLastLog 參數 | yes |
| 290 | TWGCB-01-008-0290 | TWGCB-01-012-0283 | shosts.equiv 檔案 | 移除 |
| 291 | TWGCB-01-008-0291 | TWGCB-01-012-0284 | .shosts 檔案 | 移除 |
| 292 | TWGCB-01-008-0292 | TWGCB-01-012-0285 | 覆寫全系統加密原則 | 停用 |