政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Red Hat Enterprise Linux 8 V1.1、9(伺服器)(預告版)v1.0

項次 TWGCB-ID(8) TWGCB-ID(9) 原則設定名稱 設定值
1TWGCB-01-008-0001TWGCB-01-012-0001cramfs 檔案系統 停用
2TWGCB-01-008-0002TWGCB-01-012-0002squashfs 檔案系統 停用
3TWGCB-01-008-0003TWGCB-01-012-0003udf 檔案系統 停用
4TWGCB-01-008-0004TWGCB-01-012-0004設定 /tmp 目錄之檔案系統 tmpfs
5TWGCB-01-008-0005TWGCB-01-012-0005設定 /tmp 目錄之 nodev 選項 啟用
6TWGCB-01-008-0006TWGCB-01-012-0006設定 /tmp 目錄之 nosuid 選項 啟用
7TWGCB-01-008-0007TWGCB-01-012-0007設定 /tmp 目錄之 noexec 選項 啟用
8TWGCB-01-008-0008TWGCB-01-012-0008設定 /var 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
9TWGCB-01-008-0009TWGCB-01-012-0009設定 /var/tmp 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
10TWGCB-01-008-0010TWGCB-01-012-0010設定 /var/tmp 目錄之 nodev 選項 啟用
11TWGCB-01-008-0011TWGCB-01-012-0011設定 /var/tmp 目錄之 nosuid 選項 啟用
12TWGCB-01-008-0012TWGCB-01-012-0012設定 /var/tmp 目錄之 noexec 選項 啟用
13TWGCB-01-008-0013TWGCB-01-012-0013設定 /var/log 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
14TWGCB-01-008-0014TWGCB-01-012-0014設定 /var/log/audit 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
15TWGCB-01-008-0015TWGCB-01-012-0015設定 /home 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
16TWGCB-01-008-0016TWGCB-01-012-0016設定 /home 目錄之 nodev 選項 啟用
17TWGCB-01-008-0017TWGCB-01-012-0017設定 /dev/shm 目錄之 nodev 選項 啟用
18TWGCB-01-008-0018TWGCB-01-012-0018設定 /dev/shm 目錄之 nosuid 選項 啟用
19TWGCB-01-008-0019TWGCB-01-012-0019設定 /dev/shm 目錄之 noexec 選項 啟用
20TWGCB-01-008-0020TWGCB-01-012-0020設定可攜式儲存裝置之 nodev 選項 啟用
21TWGCB-01-008-0021TWGCB-01-012-0021設定可攜式儲存裝置之 nosuid 選項 啟用
22TWGCB-01-008-0022TWGCB-01-012-0022設定可攜式儲存裝置之 noexec 選項 啟用
23TWGCB-01-008-0023TWGCB-01-012-0023設定使用者家目錄之 nodev 選項 啟用
24TWGCB-01-008-0024TWGCB-01-012-0024設定使用者家目錄之 nosuid 選項 啟用
25TWGCB-01-008-0025TWGCB-01-012-0025設定使用者家目錄之 noexec 選項 啟用
26TWGCB-01-008-0026TWGCB-01-012-0026設定 NFS 檔案系統之 nodev 選項 啟用
27TWGCB-01-008-0027TWGCB-01-012-0027設定 NFS 檔案系統之 nosuid 選項 啟用
28TWGCB-01-008-0028TWGCB-01-012-0028設定 NFS 檔案系統之 noexec 選項 啟用
29TWGCB-01-008-0029TWGCB-01-012-0029設定全域寫入權限目錄之粘滯位 設定粘滯位
30TWGCB-01-008-0030TWGCB-01-012-0030autofs 服務 停用
31TWGCB-01-008-0031TWGCB-01-012-0031USB 儲存裝置 停用
32TWGCB-01-008-0032TWGCB-01-012-0032GPG 簽章驗證 1
33TWGCB-01-008-0033TWGCB-01-012-0033sudo 套件 安裝
34TWGCB-01-008-0034TWGCB-01-012-0034設定 sudo 指令使用 pty Defaults use_pty
35TWGCB-01-008-0035TWGCB-01-012-0035sudo 自定義日誌檔案 啟用
36TWGCB-01-008-0036TWGCB-01-012-0036AIDE 套件 安裝
37TWGCB-01-008-0037TWGCB-01-012-0037定期檢查檔案系統完整性 每天
38TWGCB-01-008-0038TWGCB-01-012-0038開機載入程式設定檔之所有權 root:root
39TWGCB-01-008-0039TWGCB-01-012-0039開機載入程式設定檔之權限 600 或更低權限
40TWGCB-01-008-0040TWGCB-01-012-0040開機載入程式之通行碼 設定通行碼
41TWGCB-01-008-0041TWGCB-01-012-0041單一使用者模式身分鑑別 啟用
42TWGCB-01-008-0042TWGCB-01-012-0042核心傾印功能 停用
43TWGCB-01-008-0043TWGCB-01-012-0043記憶體位址空間配置隨機載入 2
44TWGCB-01-008-0044TWGCB-01-012-0044設定全系統加密原則 FUTURE 或 FIPS
45TWGCB-01-008-0045TWGCB-01-012-0045/etc/passwd 檔案所有權 root:root
46TWGCB-01-008-0046TWGCB-01-012-0046/etc/passwd 檔案權限 644 或更低權限
47TWGCB-01-008-0047TWGCB-01-012-0047/etc/shadow 檔案所有權 root:root 或 root:shadow
48TWGCB-01-008-0048TWGCB-01-012-0048/etc/shadow 檔案權限 000
49TWGCB-01-008-0049TWGCB-01-012-0049/etc/group 檔案所有權 root:root
50TWGCB-01-008-0050TWGCB-01-012-0050/etc/group 檔案權限 644 或更低權限
51TWGCB-01-008-0051TWGCB-01-012-0051/etc/gshadow 檔案所有權 root:root 或 root:shadow
52TWGCB-01-008-0052TWGCB-01-012-0052/etc/gshadow 檔案權限 000
53TWGCB-01-008-0053TWGCB-01-012-0053/etc/passwd- 檔案所有權 root:root
54TWGCB-01-008-0054TWGCB-01-012-0054/etc/passwd- 檔案權限 644 或更低權限
55TWGCB-01-008-0055TWGCB-01-012-0055/etc/shadow- 檔案所有權 root:root 或 root:shadow
56TWGCB-01-008-0056TWGCB-01-012-0056/etc/shadow- 檔案權限 000
57TWGCB-01-008-0057TWGCB-01-012-0057/etc/group- 檔案所有權 root:root
58TWGCB-01-008-0058TWGCB-01-012-0058/etc/group- 檔案權限 644 或更低權限
59TWGCB-01-008-0059TWGCB-01-012-0059/etc/gshadow- 檔案所有權 root:root 或 root:shadow
60TWGCB-01-008-0060TWGCB-01-012-0060/etc/gshadow- 檔案權限 000
61TWGCB-01-008-0061TWGCB-01-012-0061其他使用者寫入具有全域寫入權限的檔案 禁止寫入
62TWGCB-01-008-0062TWGCB-01-012-0062檢查所有檔案與目錄之擁有者 所有檔案與目錄擁有者皆為合法使用者
63TWGCB-01-008-0063TWGCB-01-012-0063檢查所有檔案與目錄之擁有群組 所有檔案與目錄擁有群組皆為合法群組
64TWGCB-01-008-0064TWGCB-01-012-0064所有具有全域寫入權限目錄之擁有者 root 或其他系統帳號
65TWGCB-01-008-0065TWGCB-01-012-0065所有具有全域寫入權限目錄之擁有群組 root 或其他系統群組
66TWGCB-01-008-0066TWGCB-01-012-0066系統命令檔案權限 755 或更低權限
67TWGCB-01-008-0067TWGCB-01-012-0067系統命令檔案擁有者 root
68TWGCB-01-008-0068TWGCB-01-012-0068系統命令檔案擁有群組 root
69TWGCB-01-008-0069TWGCB-01-012-0069程式庫檔案權限 755 或更低權限
70TWGCB-01-008-0070TWGCB-01-012-0070程式庫檔案擁有者 root
71TWGCB-01-008-0071TWGCB-01-012-0071程式庫檔案擁有群組 root
72TWGCB-01-008-0072TWGCB-01-012-0072帳號不使用空白密碼 帳號必須具有密碼或被鎖定
73TWGCB-01-008-0073TWGCB-01-012-0073root 帳號的路徑變數 不允許「.」、「..」、路徑開頭不是「/」及空元素
74TWGCB-01-008-0074TWGCB-01-012-0074root 帳號的路徑變數不包含 world-writable 或group-writable 目錄 不包含 world-writable 或 group-writable 目錄
75TWGCB-01-008-0075TWGCB-01-012-0075/etc/passwd 檔案行首的「+」符號 禁止
76TWGCB-01-008-0076TWGCB-01-012-0076/etc/shadow 檔案行首的「+」符號 禁止
77TWGCB-01-008-0077TWGCB-01-012-0077/etc/group 檔案行首的「+」符號 禁止
78TWGCB-01-008-0078TWGCB-01-012-0078UID=0 之帳號 僅 root 帳號之 UID 為 0
79TWGCB-01-008-0079TWGCB-01-012-0079使用者家目錄權限 700 或更低權限
80TWGCB-01-008-0080TWGCB-01-012-0080使用者家目錄擁有者 使用者擁有
81TWGCB-01-008-0081TWGCB-01-012-0081使用者家目錄擁有群組 使用者群組擁有
82TWGCB-01-008-0082TWGCB-01-012-0082使用者家目錄的「.」檔案權限 go-w 或更低權限
83TWGCB-01-008-0083TWGCB-01-012-0083使用者家目錄的「.forward」檔案 移除
84TWGCB-01-008-0084TWGCB-01-012-0084使用者家目錄的「.netrc」檔案 移除
85TWGCB-01-008-0085TWGCB-01-012-0085使用者家目錄的「.rhosts」檔案 移除
86TWGCB-01-008-0086TWGCB-01-012-0086檢查 /etc/passwd 檔案設定的群組 /etc/passwd 檔案中帳號的群組皆須存在於 /etc/group 檔案中
87TWGCB-01-008-0087TWGCB-01-012-0087唯一的 UID 為每個帳號設定唯一的 UID
88TWGCB-01-008-0088TWGCB-01-012-0088唯一的 GID 為每個群組設定唯一的 GID
89TWGCB-01-008-0089TWGCB-01-012-0089唯一的使用者帳號名稱 為每個使用者帳號設定唯一的名稱
90TWGCB-01-008-0090TWGCB-01-012-0090唯一的群組名稱 為每個群組設定唯一的群組名稱
91TWGCB-01-008-0091TWGCB-01-012-0091shadow 群組成員 shadow 群組不包含任何使用者
92TWGCB-01-008-0092TWGCB-01-012-0092xinetd 套件 移除
93TWGCB-01-008-0093TWGCB-01-012-0093chrony 校時設定 設定 1 個以上校時來源
94TWGCB-01-008-0094TWGCB-01-012-0094rsyncd 服務 停用
95TWGCB-01-008-0095TWGCB-01-012-0095avahi-daemon 服務 停用
96TWGCB-01-008-0096TWGCB-01-012-0096SNMP 服務 停用 SNMP 服務或僅啟用 SNMPv3 功能
97TWGCB-01-008-0097TWGCB-01-012-0097Squid 服務 停用
98TWGCB-01-008-0098TWGCB-01-012-0098Samba 服務 停用
99TWGCB-01-008-0099TWGCB-01-012-0099FTP 伺服器 停用
100TWGCB-01-008-0100TWGCB-01-012-0100NIS 伺服器 停用
101TWGCB-01-008-0101TWGCB-01-012-0101kdump 服務 啟用
102TWGCB-01-008-0102TWGCB-01-012-0102NIS 用戶端套件 移除
103TWGCB-01-008-0103TWGCB-01-012-0103telnet 用戶端套件 移除
104TWGCB-01-008-0104TWGCB-01-012-0104telnet 伺服器套件 移除
105TWGCB-01-008-0105TWGCB-01-012-0105rsh 伺服器套件 移除
106TWGCB-01-008-0106TWGCB-01-012-0106tftp 伺服器套件 移除
107TWGCB-01-008-0107TWGCB-01-012-0107更新套件後移除舊版本元件 True
108TWGCB-01-008-0108TWGCB-01-012-0108IP 轉送 0
109TWGCB-01-008-0109TWGCB-01-012-0109所有網路介面傳送 ICMP 重新導向封包 0
110TWGCB-01-008-0110TWGCB-01-012-0110預設網路介面禁止傳送 ICMP 重新導向封包 0
111TWGCB-01-008-0111TWGCB-01-012-0111所有網路介面阻擋來源路由封包 0
112TWGCB-01-008-0112TWGCB-01-012-0112預設網路介面阻擋來源路由封包 0
113TWGCB-01-008-0113TWGCB-01-012-0113所有網路介面阻擋 ICMP 重新導向封包 0
114TWGCB-01-008-0114TWGCB-01-012-0114預設網路介面阻擋 ICMP 重新導向封包 0
115TWGCB-01-008-0115TWGCB-01-012-0115所有網路介面阻擋安全之 ICMP 重新導向封包 0
116TWGCB-01-008-0116TWGCB-01-012-0116預設網路介面阻擋安全之 ICMP 重新導向封包 0
117TWGCB-01-008-0117TWGCB-01-012-0117所有網路介面記錄可疑封包 1
118TWGCB-01-008-0118TWGCB-01-012-0118預設網路介面記錄可疑封包 1
119TWGCB-01-008-0119TWGCB-01-012-0119不回應 ICMP 廣播要求 1
120TWGCB-01-008-0120TWGCB-01-012-0120忽略偽造之 ICMP 錯誤訊息 1
121TWGCB-01-008-0121TWGCB-01-012-0121所有網路介面啟用逆向路徑過濾功能 1
122TWGCB-01-008-0122TWGCB-01-012-0122預設網路介面啟用逆向路徑過濾功能 1
123TWGCB-01-008-0123TWGCB-01-012-0123TCP SYN cookies 1
124TWGCB-01-008-0124TWGCB-01-012-0124所有網路介面阻擋 IPv6 路由器公告訊息 0
125TWGCB-01-008-0125TWGCB-01-012-0125預設網路介面阻擋 IPv6 路由器公告訊息 0
126TWGCB-01-008-0126TWGCB-01-012-0126DCCP 協定 停用
127TWGCB-01-008-0127TWGCB-01-012-0127SCTP 協定 停用
128TWGCB-01-008-0128TWGCB-01-012-0128RDS 協定 停用
129TWGCB-01-008-0129TWGCB-01-012-0129TIPC 協定 停用
130TWGCB-01-008-0130TWGCB-01-012-0130無線網路介面 停用
131TWGCB-01-008-0131TWGCB-01-012-0131網路介面混雜模式 停用
132TWGCB-01-008-0132TWGCB-01-012-0132auditd 套件 安裝
133TWGCB-01-008-0133TWGCB-01-012-0133auditd 服務 啟用
134TWGCB-01-008-0134TWGCB-01-012-0134稽核 auditd 服務啟動前之程序 啟用
135TWGCB-01-008-0135TWGCB-01-012-0135稽核待辦事項數量限制 8,192 以上
136TWGCB-01-008-0136TWGCB-01-012-0136稽核處理失敗時通知系統管理者 啟用
137TWGCB-01-008-0137TWGCB-01-012-0137稽核日誌檔案所有權 root:root
138TWGCB-01-008-0138TWGCB-01-012-0138稽核日誌檔案權限 600 或更低權限
139TWGCB-01-008-0139TWGCB-01-012-0139稽核日誌目錄所有權 root:root
140TWGCB-01-008-0140TWGCB-01-012-0140稽核日誌目錄權限 Linux 8: 600 或更低權限
Linux 9: 700 或更低權限
141TWGCB-01-008-0141TWGCB-01-012-0141稽核規則檔案權限 600 或更低權限
142TWGCB-01-008-0142TWGCB-01-012-0142稽核設定檔案權限 640 或更低權限
143TWGCB-01-008-0143TWGCB-01-012-0143稽核工具權限 750 或更低權限
144TWGCB-01-008-0144TWGCB-01-012-0144稽核工具所有權 root:root
145TWGCB-01-008-0145TWGCB-01-012-0145保護稽核工具 啟用
146TWGCB-01-008-0146TWGCB-01-012-0146稽核日誌檔案大小上限 32 以上
147TWGCB-01-008-0147TWGCB-01-012-0147稽核日誌達到其檔案大小上限之行為 keep_logs
148TWGCB-01-008-0148TWGCB-01-012-0148記錄系統管理者活動 啟用
149TWGCB-01-008-0149TWGCB-01-012-0149記錄變更登入與登出資訊事件 啟用
150TWGCB-01-008-0150TWGCB-01-012-0150記錄會談啟始資訊 啟用
151TWGCB-01-008-0151TWGCB-01-012-0151記錄變更日期與時間事件 啟用
152TWGCB-01-008-0152TWGCB-01-012-0152記錄變更系統強制存取控制事件 啟用
153TWGCB-01-008-0153TWGCB-01-012-0153記錄變更系統網路環境事件 啟用
154TWGCB-01-008-0154TWGCB-01-012-0154記錄變更自主存取控制權限事件 啟用
155TWGCB-01-008-0155TWGCB-01-012-0155記錄不成功之未經授權檔案存取 啟用
156TWGCB-01-008-0156TWGCB-01-012-0156記錄變更使用者或群組資訊事件 啟用
157TWGCB-01-008-0157TWGCB-01-012-0157記錄變更檔案系統掛載事件 啟用
158TWGCB-01-008-0158TWGCB-01-012-0158記錄特權指令使用情形 啟用
159TWGCB-01-008-0159TWGCB-01-012-0159記錄檔案刪除事件 啟用
160TWGCB-01-008-0160TWGCB-01-012-0160記錄核心模組掛載與卸載事件 啟用
161TWGCB-01-008-0161TWGCB-01-012-0161記錄系統管理者活動日誌變更 啟用
162TWGCB-01-008-0162TWGCB-01-012-0162記錄 chcon 指令使用情形 啟用
163TWGCB-01-008-0163TWGCB-01-012-0163記錄 ssh-agent 程序使用情形 啟用
164TWGCB-01-008-0164TWGCB-01-012-0164記錄 unix_update 程序使用情形 啟用
165TWGCB-01-008-0165TWGCB-01-012-0165記錄 setfacl 指令使用情形 啟用
166TWGCB-01-008-0166TWGCB-01-012-0166記錄 finit_module 指令使用情形 啟用
167TWGCB-01-008-0167TWGCB-01-012-0167記錄 open_by_handle_at 系統呼叫使用情形 啟用
168TWGCB-01-008-0168TWGCB-01-012-0168記錄 usermod 指令使用情形 啟用
169TWGCB-01-008-0169TWGCB-01-012-0169記錄 chacl 指令使用情形 啟用
170TWGCB-01-008-0170TWGCB-01-012-0170記錄 kmod 指令使用情形 啟用
171TWGCB-01-008-0171TWGCB-01-012-0171記錄 Pam_Faillock 日誌檔案 啟用
172TWGCB-01-008-0172TWGCB-01-012-0172記錄 execve 系統呼叫使用情形 啟用
173TWGCB-01-008-0173TWGCB-01-012-0173auditd 設定不變模式 2
174TWGCB-01-008-0174TWGCB-01-012-0174rsyslog 套件 安裝
175TWGCB-01-008-0175TWGCB-01-012-0175rsyslog 服務 啟用
176TWGCB-01-008-0176TWGCB-01-012-0176設定 rsyslog 日誌檔案預設權限 0640 或更低權限
177TWGCB-01-008-0177TWGCB-01-012-0177設定 rsyslog 日誌記錄規則 auth、authpriv 及 daemon
178TWGCB-01-008-0178TWGCB-01-012-0178/var/log/messages 檔案所有權 root:root
179TWGCB-01-008-0179TWGCB-01-012-0179/var/log 目錄所有權 root:root
180TWGCB-01-008-0180TWGCB-01-012-0180設定 journald 將日誌發送到 rsyslog yes
181TWGCB-01-008-0181TWGCB-01-012-0181設定 journald 壓縮日誌檔案 yes
182TWGCB-01-008-0182TWGCB-01-012-0182設定 journald 將日誌檔案永久保存於磁碟 persistent
183 於 v1.1 已移除的政策 TWGCB-01-012-0183設定 /var/log 目錄下所有日誌檔案權限 g-wx, o-rwx 或更低權限
184 於 v1.1 已移除的政策 設定 /var/log 目錄下所有日誌目錄權限 g-w, o-rwx 或更低權限
185TWGCB-01-008-0185TWGCB-01-012-0184SELinux 套件 安裝
186TWGCB-01-008-0186TWGCB-01-012-0185開機載入程式啟用 SELinux 啟用
187TWGCB-01-008-0187TWGCB-01-012-0186SELinux 政策 targeted 或更嚴格之政策
188TWGCB-01-008-0188TWGCB-01-012-0187SELinux 啟用狀態 enforcing
189TWGCB-01-008-0189TWGCB-01-012-0188未受限程序 無未受限程序
190TWGCB-01-008-0190TWGCB-01-012-0189setroubleshoot 套件 移除
191TWGCB-01-008-0191TWGCB-01-012-0190mcstrans 套件 移除
192TWGCB-01-008-0192TWGCB-01-012-0191cron 守護程序 啟用
193TWGCB-01-008-0193TWGCB-01-012-0192/etc/crontab 檔案所有權 root:root
194TWGCB-01-008-0194TWGCB-01-012-0193/etc/crontab 檔案權限 600 或更低權限
195TWGCB-01-008-0195TWGCB-01-012-0194/etc/cron.hourly 目錄所有權 root:root
196TWGCB-01-008-0196TWGCB-01-012-0195/etc/cron.hourly 目錄權限 700 或更低權限
197TWGCB-01-008-0197TWGCB-01-012-0196/etc/cron.daily 目錄所有權 root:root
198TWGCB-01-008-0198TWGCB-01-012-0197/etc/cron.daily 目錄權限 700 或更低權限
199TWGCB-01-008-0199TWGCB-01-012-0198/etc/cron.weekly 目錄所有權 root:root
200TWGCB-01-008-0200TWGCB-01-012-0199/etc/cron.weekly 目錄權限 700 或更低權限
201TWGCB-01-008-0201TWGCB-01-012-0200/etc/cron.monthly 目錄所有權 root:root
202TWGCB-01-008-0202TWGCB-01-012-0201/etc/cron.monthly 目錄權限 700 或更低權限
203TWGCB-01-008-0203TWGCB-01-012-0202/etc/cron.d 目錄所有權 root:root
204TWGCB-01-008-0204TWGCB-01-012-0203/etc/cron.d 目錄權限 700 或更低權限
205TWGCB-01-008-0205TWGCB-01-012-0204at.allow 與 cron.allow 檔案所有權 root:root
206TWGCB-01-008-0206TWGCB-01-012-0205at.allow 與 cron.allow 檔案權限 600 或更低權限
207TWGCB-01-008-0207TWGCB-01-012-0206cron 日誌記錄功能 啟用
208TWGCB-01-008-0208TWGCB-01-012-0207可設定密碼次數 3 以下,但須大於 0
209TWGCB-01-008-0209TWGCB-01-012-0208強制 root 密碼須符合密碼規則 啟用
210TWGCB-01-008-0210TWGCB-01-012-0209密碼最小長度 12 個字元以上
211TWGCB-01-008-0211TWGCB-01-012-0210密碼必須至少包含字元類別數量 4
212TWGCB-01-008-0212TWGCB-01-012-0211密碼必須至少包含數字個數 1 個以上
213TWGCB-01-008-0213TWGCB-01-012-0212密碼必須至少包含大寫字母個數 1 個以上
214TWGCB-01-008-0214TWGCB-01-012-0213密碼必須至少包含小寫字母個數 1 個以上
215TWGCB-01-008-0215TWGCB-01-012-0214密碼必須至少包含特殊字元個數 1 個以上
216TWGCB-01-008-0216TWGCB-01-012-0215新密碼與舊密碼最少相異字元數 3 以上
217TWGCB-01-008-0217TWGCB-01-012-0216同一類別字元可連續使用個數 4 以下,但須大於 0
218TWGCB-01-008-0218TWGCB-01-012-0217相同字元可連續使用個數 3 以下,但須大於 0
219TWGCB-01-008-0219TWGCB-01-012-0218必須禁止使用字典檔單字做為密碼 1
220TWGCB-01-008-0220TWGCB-01-012-0219帳戶鎖定閾值 5 次以下,但須大於 0
221TWGCB-01-008-0221TWGCB-01-012-0220帳戶鎖定時間 900 秒以上
222TWGCB-01-008-0222TWGCB-01-012-0221強制執行密碼歷程記錄 3 以上
223TWGCB-01-008-0223TWGCB-01-012-0222顯示登入失敗次數與日期 啟用
224TWGCB-01-008-0224TWGCB-01-012-0223密碼雜湊演算法 SHA512
225TWGCB-01-008-0225TWGCB-01-012-0224通行碼最短使用期限 1 天以上
226TWGCB-01-008-0226TWGCB-01-012-0225通行碼到期前提醒使用者變更通行碼 14 天以上
227TWGCB-01-008-0227TWGCB-01-012-0226通行碼最長使用期限 90 天以下,但須大於 0
228TWGCB-01-008-0228TWGCB-01-012-0227通行碼到期後,帳號停用前之天數 30 天以下,但須大於 0
229TWGCB-01-008-0229TWGCB-01-012-0228登入嘗試失敗之延遲時間 4 秒以上
230TWGCB-01-008-0230TWGCB-01-012-0229新使用者帳號預設建立使用者家目錄 yes
231TWGCB-01-008-0231TWGCB-01-012-0230要求使用者必須經過身分驗證才能提升權限 要求身分驗證
232TWGCB-01-008-0232TWGCB-01-012-0231限制每個帳號可同時登入之數量 10 以下,但須大於 0
233TWGCB-01-008-0233TWGCB-01-012-0232kbd 套件 安裝
234TWGCB-01-008-0234TWGCB-01-012-0233使用者會談鎖定 啟用
235TWGCB-01-008-0235TWGCB-01-012-0234GNOME 使用者會談逾時時間 900 秒以下,但須大於 0
236TWGCB-01-008-0236TWGCB-01-012-0235禁止 GNOME 使用者自動登入 false
237TWGCB-01-008-0237TWGCB-01-012-0236系統帳號登入方式 nologin
238TWGCB-01-008-0238TWGCB-01-012-0237Bash shell 閒置時登出時間 900 秒以下,但須大於 0
239TWGCB-01-008-0239TWGCB-01-012-0238防止修改圖形使用者介面 (GUI) 設定 啟用
240TWGCB-01-008-0240TWGCB-01-012-0239root 帳號所屬群組 GID 0
241TWGCB-01-008-0241TWGCB-01-012-0240所有使用者帳號的預設 umask 027 或更低權限
242TWGCB-01-008-0242TWGCB-01-012-0241在 /etc/login.defs 設定所有使用者的預設 umask 027 或更低權限
243TWGCB-01-008-0243TWGCB-01-012-0242可使用 su 指令之群組 僅限 wheel 群組才能使用 su 指令
項次 TWGCB-ID(8) TWGCB-ID(9) 原則設定名稱 設定值
244TWGCB-01-008-0244TWGCB-01-012-0243firewalld 防火牆套件 安裝
245TWGCB-01-008-0245TWGCB-01-012-0244firewalld 服務 啟用
246TWGCB-01-008-0246TWGCB-01-012-0245iptables 服務 停用
247TWGCB-01-008-0247TWGCB-01-012-0246nftables 服務 停用
248TWGCB-01-008-0248TWGCB-01-012-0247firewalld 防火牆預設區域 須設定預設區域
項次 TWGCB-ID(8) TWGCB-ID(9) 原則設定名稱 設定值
249TWGCB-01-008-0249TWGCB-01-012-0248nftables 服務 啟用
250TWGCB-01-008-0250TWGCB-01-012-0249firewalld 服務 停用
251TWGCB-01-008-0251TWGCB-01-012-0250在 nftables 中建立表 1 個以上
252TWGCB-01-008-0252TWGCB-01-012-0251在 nftables 建立基本鏈 1 個以上
253TWGCB-01-008-0253TWGCB-01-012-0252在 nftables 設定回送流量規則 建立回送流量規則
254TWGCB-01-008-0254TWGCB-01-012-0253在 nftables 建立預設拒絕規則 Drop
255TWGCB-01-008-0255TWGCB-01-012-0254載入 nftables 規則 開機時自動載入 nftables 規則集
項次 TWGCB-ID(8) TWGCB-ID(9) 原則設定名稱 設定值
256TWGCB-01-008-0256iptables 服務 啟用
257TWGCB-01-008-0257firewalld 服務 停用
258TWGCB-01-008-0258在 iptables 建立預設拒絕規則 Drop
259TWGCB-01-008-0259在 iptables 設定回送流量規則 建立回送流量規則
260TWGCB-01-008-0260在 ip6tables 建立預設拒絕規則 Drop
261TWGCB-01-008-0261在 ip6tables 設定回送流量規則 建立回送流量規則
項次 TWGCB-ID(8) TWGCB-ID(9) 原則設定名稱 設定值
262TWGCB-01-008-0262TWGCB-01-012-0255sshd 守護程序 啟用
263TWGCB-01-008-0263TWGCB-01-012-0256SSH 協定版本 Protocol 2
264TWGCB-01-008-0264TWGCB-01-012-0257/etc/ssh/sshd_config 檔案所有權 root:root
265TWGCB-01-008-0265TWGCB-01-012-0258/etc/ssh/sshd_config 檔案權限 600 或更低權限
266TWGCB-01-008-0266TWGCB-01-012-0259限制存取 SSH 啟用
267TWGCB-01-008-0267TWGCB-01-012-0260SSH 主機私鑰檔案所有權 Linux 8: root:root
Linux 9: root:ssh_keys
268TWGCB-01-008-0268TWGCB-01-012-0261SSH 主機私鑰檔案權限 Linux 8: 600 或更低權限
Linux 9: 640或更低權限
269TWGCB-01-008-0269TWGCB-01-012-0262SSH 主機公鑰檔案所有權 root:root
270TWGCB-01-008-0270TWGCB-01-012-0263SSH 主機公鑰檔案權限 644 或更低權限
271TWGCB-01-008-0271TWGCB-01-012-0264SSH 加密演算法 aes128-ctr,aes192-ctr,aes256-ctr
272TWGCB-01-008-0272TWGCB-01-012-0265SSH 日誌記錄等級 VERBOSE 或 INFO
273TWGCB-01-008-0273TWGCB-01-012-0266SSH X11Forwarding 功能 no
274TWGCB-01-008-0274TWGCB-01-012-0267SSH MaxAuthTries 參數 4 以下,但須大於 0
275TWGCB-01-008-0275TWGCB-01-012-0268SSH IgnoreRhosts 參數 yes
276TWGCB-01-008-0276TWGCB-01-012-0269SSH HostbasedAuthentication 參數 no
277TWGCB-01-008-0277TWGCB-01-012-0270SSH PermitRootLogin 參數 no
278TWGCB-01-008-0278TWGCB-01-012-0271SSH PermitEmptyPasswords 參數 no
279TWGCB-01-008-0279TWGCB-01-012-0272SSH PermitUserEnvironment 參數 no
280TWGCB-01-008-0280TWGCB-01-012-0273SSH 逾時時間 ClientAliveInterval 設為 600 以下,但須大於 0,且 ClientAliveCountMax 設為 0
281TWGCB-01-008-0281TWGCB-01-012-0274SSH LoginGraceTime 參數 60 以下,但須大於 0
282TWGCB-01-008-0282TWGCB-01-012-0275SSH UsePAM 參數 yes
283TWGCB-01-008-0283TWGCB-01-012-0276SSH AllowTcpForwarding 參數 no
284TWGCB-01-008-0284TWGCB-01-012-0277SSH MaxStartups 參數 10:30:60
285TWGCB-01-008-0285TWGCB-01-012-0278SSH MaxSessions 參數 4 以下,但須大於 0
286TWGCB-01-008-0286TWGCB-01-012-0279SSH StrictModes 參數 yes
287TWGCB-01-008-0287TWGCB-01-012-0280SSH Compression 參數 delayed 或 no
288TWGCB-01-008-0288TWGCB-01-012-0281SSH IgnoreUserKnownHosts 參數 yes
289TWGCB-01-008-0289TWGCB-01-012-0282SSH PrintLastLog 參數 yes
290TWGCB-01-008-0290TWGCB-01-012-0283shosts.equiv 檔案 移除
291TWGCB-01-008-0291TWGCB-01-012-0284.shosts 檔案 移除
292TWGCB-01-008-0292TWGCB-01-012-0285覆寫全系統加密原則 停用
© 2015 美麗島安全科技 4MOSAn Security Technology Co., Ltd. 版權所有
新竹市草漯街 205 巷 17 號     聯絡:info 小老鼠 4mosan.com