政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Red Hat Enterprise Linux 8 V1.0

項次 TWGCB-ID 原則設定名稱 設定值
1TWGCB-01-008-0001cramfs 檔案系統 停用
2TWGCB-01-008-0002squashfs 檔案系統 停用
3TWGCB-01-008-0003udf 檔案系統 停用
4TWGCB-01-008-0004設定 /tmp 目錄之檔案系統 tmpfs
5TWGCB-01-008-0005設定 /tmp 目錄之 nodev 選項 啟用
6TWGCB-01-008-0006設定 /tmp 目錄之 nosuid 選項 啟用
7TWGCB-01-008-0007設定 /tmp 目錄之 noexec 選項 啟用
8TWGCB-01-008-0008設定 /var 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
9TWGCB-01-008-0009設定 /var/tmp 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
10TWGCB-01-008-0010設定 /var/tmp 目錄之 nodev 選項 啟用
11TWGCB-01-008-0011設定 /var/tmp 目錄之 nosuid 選項 啟用
12TWGCB-01-008-0012設定 /var/tmp 目錄之 noexec 選項 啟用
13TWGCB-01-008-0013設定 /var/log 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
14TWGCB-01-008-0014設定 /var/log/audit 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
15TWGCB-01-008-0015設定 /home 目錄之檔案系統 使用獨立之分割磁區或邏輯磁區
16TWGCB-01-008-0016設定 /home 目錄之 nodev 選項 啟用
17TWGCB-01-008-0017設定 /dev/shm 目錄之 nodev 選項 啟用
18TWGCB-01-008-0018設定 /dev/shm 目錄之 nosuid 選項 啟用
19TWGCB-01-008-0019設定 /dev/shm 目錄之 noexec 選項 啟用
20TWGCB-01-008-0020設定可攜式儲存裝置之 nodev 選項 啟用
21TWGCB-01-008-0021設定可攜式儲存裝置之 nosuid 選項 啟用
22TWGCB-01-008-0022設定可攜式儲存裝置之 noexec 選項 啟用
23TWGCB-01-008-0023設定使用者家目錄之 nodev 選項 啟用
24TWGCB-01-008-0024設定使用者家目錄之 nosuid 選項 啟用
25TWGCB-01-008-0025設定使用者家目錄之 noexec 選項 啟用
26TWGCB-01-008-0026設定 NFS 檔案系統之 nodev 選項 啟用
27TWGCB-01-008-0027設定 NFS 檔案系統之 nosuid 選項 啟用
28TWGCB-01-008-0028設定 NFS 檔案系統之 noexec 選項 啟用
29TWGCB-01-008-0029設定全域寫入權限目錄之粘滯位 設定粘滯位
30TWGCB-01-008-0030autofs 服務 停用
31TWGCB-01-008-0031USB 儲存裝置 停用
32TWGCB-01-008-0032GPG 簽章驗證 1
33TWGCB-01-008-0033sudo 套件 安裝
34TWGCB-01-008-0034設定 sudo 指令使用 pty Defaults use_pty
35TWGCB-01-008-0035sudo 自定義日誌檔案 啟用
36TWGCB-01-008-0036AIDE 套件 安裝
37TWGCB-01-008-0037定期檢查檔案系統完整性 每天
38TWGCB-01-008-0038開機載入程式設定檔之所有權 root:root
39TWGCB-01-008-0039開機載入程式設定檔之權限 600 或更低權限
40TWGCB-01-008-0040開機載入程式之密碼 設定密碼
41TWGCB-01-008-0041單一使用者模式身分驗證 啟用
42TWGCB-01-008-0042核心傾印功能 停用
43TWGCB-01-008-0043記憶體位址空間配置隨機載入 2
44TWGCB-01-008-0044設定全系統加密原則 FUTURE 或 FIPS
45TWGCB-01-008-0045/etc/passwd 檔案所有權 root:root
46TWGCB-01-008-0046/etc/passwd 檔案權限 644 或更低權限
47TWGCB-01-008-0047/etc/shadow 檔案所有權 root:root 或 root:shadow
48TWGCB-01-008-0048/etc/shadow 檔案權限 000
49TWGCB-01-008-0049/etc/group 檔案所有權 root:root
50TWGCB-01-008-0050/etc/group 檔案權限 644 或更低權限
51TWGCB-01-008-0051/etc/gshadow 檔案所有權 root:root 或 root:shadow
52TWGCB-01-008-0052/etc/gshadow 檔案權限 000
53TWGCB-01-008-0053/etc/passwd 檔案所有權 root:root
54TWGCB-01-008-0054/etc/passwd- 檔案權限 600 或更低權限
55TWGCB-01-008-0055/etc/shadow- 檔案所有權 root:root 或 root:shadow
56TWGCB-01-008-0056/etc/shadow- 檔案權限 000
57TWGCB-01-008-0057/etc/group- 檔案所有權 root:root
58TWGCB-01-008-0058/etc/group- 檔案權限 644 或更低權限
59TWGCB-01-008-0059/etc/gshadow- 檔案所有權 root:root 或 root:shadow
60TWGCB-01-008-0060/etc/gshadow- 檔案權限 000
61TWGCB-01-008-0061其他使用者寫入具有全域寫入權限的檔案 禁止寫入
62TWGCB-01-008-0062檢查所有檔案與目錄之擁有者 所有檔案與目錄擁有者皆為合法使用者
63TWGCB-01-008-0063檢查所有檔案與目錄之擁有群組 所有檔案與目錄擁有群組皆為合法群組
64TWGCB-01-008-0064所有具有全域寫入權限目錄之擁有者 root 或其他系統帳號
65TWGCB-01-008-0065所有具有全域寫入權限目錄之擁有群組 root 或其他系統群組
66TWGCB-01-008-0066系統命令檔案權限 755 或更低權限
67TWGCB-01-008-0067系統命令檔案擁有者 root
68TWGCB-01-008-0068系統命令檔案擁有群組 root
69TWGCB-01-008-0069程式庫檔案權限 755 或更低權限
70TWGCB-01-008-0070程式庫檔案擁有者 root
71TWGCB-01-008-0071程式庫檔案擁有群組 root
72TWGCB-01-008-0072帳號不使用空白密碼 帳號必須具有密碼或被鎖定
73TWGCB-01-008-0073root 帳號的路徑變數 不允許「.」、「..」、路徑開頭不是「/」及空元素
74TWGCB-01-008-0074root 帳號的路徑變數不包含 world-writable 或group-writable 目錄 不包含 world-writable 或 group-writable 目錄
75TWGCB-01-008-0075/etc/passwd 檔案行首的「+」符號 禁止
76TWGCB-01-008-0076/etc/shadow 檔案行首的「+」符號 禁止
77TWGCB-01-008-0077/etc/group 檔案行首的「+」符號 禁止
78TWGCB-01-008-0078UID=0 之帳號 僅 root 帳號之 UID 為 0
79TWGCB-01-008-0079使用者家目錄權限 700 或更低權限
80TWGCB-01-008-0080使用者家目錄擁有者 使用者擁有
81TWGCB-01-008-0081使用者家目錄擁有群組 使用者群組擁有
82TWGCB-01-008-0082使用者家目錄的「.」檔案權限 go-w 或更低權限
83TWGCB-01-008-0083使用者家目錄的「.forward」檔案 移除
84TWGCB-01-008-0084使用者家目錄的「.netrc」檔案 移除
85TWGCB-01-008-0085使用者家目錄的「.rhosts」檔案 移除
86TWGCB-01-008-0086檢查 /etc/passwd 檔案設定的群組 /etc/passwd 檔案中帳號的群組皆須存在於 /etc/group 檔案中
87TWGCB-01-008-0087唯一的 UID 為每個帳號設定唯一的 UID
88TWGCB-01-008-0088唯一的 GID 為每個群組設定唯一的 GID
89TWGCB-01-008-0089唯一的使用者帳號名稱 為每個使用者帳號設定唯一的名稱
90TWGCB-01-008-0090唯一的群組名稱 為每個群組設定唯一的群組名稱
91TWGCB-01-008-0091shadow 群組成員 shadow 群組不包含任何使用者
92TWGCB-01-008-0092xinetd 套件 移除
93TWGCB-01-008-0093chrony 校時設定 設定 1 個以上校時來源
94TWGCB-01-008-0094rsyncd 服務 停用
95TWGCB-01-008-0095avahi-daemon 服務 停用
96TWGCB-01-008-0096SNMP 服務 停用 SNMP 服務或僅啟用 SNMPv3 功能
97TWGCB-01-008-0097Squid 服務 停用
98TWGCB-01-008-0098Samba 服務 停用
99TWGCB-01-008-0099FTP 伺服器 停用
100TWGCB-01-008-0100NIS 伺服器 停用
101TWGCB-01-008-0101kdump 服務 啟用
102TWGCB-01-008-0102NIS 用戶端套件 移除
103TWGCB-01-008-0103telnet 用戶端套件 移除
104TWGCB-01-008-0104telnet 伺服器套件 移除
105TWGCB-01-008-0105rsh 伺服器套件 移除
106TWGCB-01-008-0106tftp 伺服器套件 移除
107TWGCB-01-008-0107更新套件後移除舊版本元件 True
108TWGCB-01-008-0108IP 轉送 0
109TWGCB-01-008-0109所有網路介面傳送 ICMP 重新導向封包 0
110TWGCB-01-008-0110預設網路介面傳送 ICMP 重新導向封包 0
111TWGCB-01-008-0111所有網路介面接受來源路由封包 0
112TWGCB-01-008-0112預設網路介面接受來源路由封包 0
113TWGCB-01-008-0113所有網路介面接受 ICMP 重新導向封包 0
114TWGCB-01-008-0114預設網路介面接受 ICMP 重新導向封包 0
115TWGCB-01-008-0115所有網路介面接受安全的 ICMP 重新導向封包 0
116TWGCB-01-008-0116預設網路介面接受安全的 ICMP 重新導向封包 0
117TWGCB-01-008-0117所有網路介面記錄可疑封包 1
118TWGCB-01-008-0118預設網路介面記錄可疑封包 1
119TWGCB-01-008-0119不回應 ICMP 廣播要求 1
120TWGCB-01-008-0120忽略偽造之 ICMP 錯誤訊息 1
121TWGCB-01-008-0121所有網路介面啟用逆向路徑過濾功能 1
122TWGCB-01-008-0122預設網路介面啟用逆向路徑過濾功能 1
123TWGCB-01-008-0123TCP SYN cookies 1
124TWGCB-01-008-0124所有網路介面接受 IPv6 路由器公告訊息 0
125TWGCB-01-008-0125預設網路介面接受 IPv6 路由器公告訊息 0
126TWGCB-01-008-0126DCCP 協定 停用
127TWGCB-01-008-0127SCTP 協定 停用
128TWGCB-01-008-0128RDS 協定 停用
129TWGCB-01-008-0129TIPC 協定 停用
130TWGCB-01-008-0130無線網路介面 停用
131TWGCB-01-008-0131網路介面混雜模式 停用
132TWGCB-01-008-0132auditd 套件 安裝
133TWGCB-01-008-0133auditd 服務 啟用
134TWGCB-01-008-0134稽核 auditd 服務啟動前之程序 啟用
135TWGCB-01-008-0135稽核待辦事項數量限制 8,192 以上
136TWGCB-01-008-0136稽核處理失敗時通知系統管理者 啟用
137TWGCB-01-008-0137稽核日誌檔案所有權 root:root
138TWGCB-01-008-0138稽核日誌檔案權限 600 或更低權限
139TWGCB-01-008-0139稽核日誌目錄所有權 root:root
140TWGCB-01-008-0140稽核日誌目錄權限 600 或更低權限
141TWGCB-01-008-0141稽核規則檔案權限 600 或更低權限
142TWGCB-01-008-0142稽核設定檔案權限 640 或更低權限
143TWGCB-01-008-0143稽核工具權限 750 或更低權限
144TWGCB-01-008-0144稽核工具所有權 root:root
145TWGCB-01-008-0145保護稽核工具 啟用
146TWGCB-01-008-0146稽核日誌檔案大小上限 32 以上
147TWGCB-01-008-0147稽核日誌達到其檔案大小上限之行為 keep_logs
148TWGCB-01-008-0148記錄系統管理者活動 啟用
149TWGCB-01-008-0149記錄變更登入與登出資訊事件 啟用
150TWGCB-01-008-0150記錄會談啟始資訊 啟用
151TWGCB-01-008-0151記錄變更日期與時間事件 啟用
152TWGCB-01-008-0152記錄變更系統強制存取控制事件 啟用
153TWGCB-01-008-0153記錄變更系統網路環境事件 啟用
154TWGCB-01-008-0154記錄變更自主存取控制權限事件 啟用
155TWGCB-01-008-0155記錄不成功之未經授權檔案存取 啟用
156TWGCB-01-008-0156記錄變更使用者或群組資訊事件 啟用
157TWGCB-01-008-0157記錄變更檔案系統掛載事件 啟用
158TWGCB-01-008-0158記錄特權指令使用情形 啟用
159TWGCB-01-008-0159記錄檔案刪除事件 啟用
160TWGCB-01-008-0160記錄核心模組掛載與卸載事件 啟用
161TWGCB-01-008-0161記錄系統管理者活動日誌變更 啟用
162TWGCB-01-008-0162記錄 chcon 指令使用情形 啟用
163TWGCB-01-008-0163記錄 ssh-agent 程序使用情形 啟用
164TWGCB-01-008-0164記錄 unix_update 程序使用情形 啟用
165TWGCB-01-008-0165記錄 setfacl 指令使用情形 啟用
166TWGCB-01-008-0166記錄 finit_module 指令使用情形 啟用
167TWGCB-01-008-0167記錄 open_by_handle_at 系統呼叫使用情形 啟用
168TWGCB-01-008-0168記錄 usermod 指令使用情形 啟用
169TWGCB-01-008-0169記錄 chacl 指令使用情形 啟用
170TWGCB-01-008-0170記錄 kmod 指令使用情形 啟用
171TWGCB-01-008-0171記錄 Pam_Faillock 日誌檔案 啟用
172TWGCB-01-008-0172記錄 execve 系統呼叫使用情形 啟用
173TWGCB-01-008-0173auditd 設定不變模式 2
174TWGCB-01-008-0174rsyslog 套件 安裝
175TWGCB-01-008-0175rsyslog 服務 啟用
176TWGCB-01-008-0176設定 rsyslog 日誌檔案預設權限 0640 或更低權限
177TWGCB-01-008-0177設定 rsyslog 日誌記錄規則 auth、authpriv 及 daemon
178TWGCB-01-008-0178/var/log/messages 檔案所有權 root:root
179TWGCB-01-008-0179/var/log 目錄所有權 root:root
180TWGCB-01-008-0180設定 journald 將日誌發送到 rsyslog yes
181TWGCB-01-008-0181設定 journald 壓縮日誌檔案 yes
182TWGCB-01-008-0182設定 journald 將日誌檔案永久保存於磁碟 persistent
183TWGCB-01-008-0183設定 /var/log 目錄下所有日誌檔案權限 g-wx, o-rwx 或更低權限
184TWGCB-01-008-0184設定 /var/log 目錄下所有日誌目錄權限 g-w, o-rwx 或更低權限
185TWGCB-01-008-0185SELinux 套件 安裝
186TWGCB-01-008-0186開機載入程式啟用 SELinux 啟用
187TWGCB-01-008-0187SELinux 政策 targeted 或更嚴格之政策
188TWGCB-01-008-0188SELinux 啟用狀態 enforcing
189TWGCB-01-008-0189未受限程序 無未受限程序
190TWGCB-01-008-0190setroubleshoot 套件 移除
191TWGCB-01-008-0191mcstrans 套件 移除
192TWGCB-01-008-0192cron 守護程序 啟用
193TWGCB-01-008-0193/etc/crontab 檔案所有權 root:root
194TWGCB-01-008-0194/etc/crontab 檔案權限 600 或更低權限
195TWGCB-01-008-0195/etc/cron.hourly 目錄所有權 root:root
196TWGCB-01-008-0196/etc/cron.hourly 目錄權限 700 或更低權限
197TWGCB-01-008-0197/etc/cron.daily 目錄所有權 root:root
198TWGCB-01-008-0198/etc/cron.daily 目錄權限 700 或更低權限
199TWGCB-01-008-0199/etc/cron.weekly 目錄所有權 root:root
200TWGCB-01-008-0200/etc/cron.weekly 目錄權限 700 或更低權限
201TWGCB-01-008-0201/etc/cron.monthly 目錄所有權 root:root
202TWGCB-01-008-0202/etc/cron.monthly 目錄權限 700 或更低權限
203TWGCB-01-008-0203/etc/cron.d 目錄所有權 root:root
204TWGCB-01-008-0204/etc/cron.d 目錄權限 700 或更低權限
205TWGCB-01-008-0205at.allow 與 cron.allow 檔案所有權 root:root
206TWGCB-01-008-0206at.allow 與 cron.allow 檔案權限 600 或更低權限
207TWGCB-01-008-0207cron 日誌記錄功能 啟用
208TWGCB-01-008-0208可設定密碼次數 3 以下,但須大於 0
209TWGCB-01-008-0209強制 root 密碼須符合密碼規則 啟用
210TWGCB-01-008-0210密碼最小長度 12 個字元以上
211TWGCB-01-008-0211密碼必須至少包含字元類別數量 4
212TWGCB-01-008-0212密碼必須至少包含數字個數 1 個以上
213TWGCB-01-008-0213密碼必須至少包含大寫字母個數 1 個以上
214TWGCB-01-008-0214密碼必須至少包含小寫字母個數 1 個以上
215TWGCB-01-008-0215密碼必須至少包含特殊字元個數 1 個以上
216TWGCB-01-008-0216新密碼與舊密碼最少相異字元數 3 以上
217TWGCB-01-008-0217同一類別字元可連續使用個數 4 以下,但須大於 0
218TWGCB-01-008-0218相同字元可連續使用個數 3 以下,但須大於 0
219TWGCB-01-008-0219必須禁止使用字典檔單字做為密碼 1
220TWGCB-01-008-0220帳戶鎖定閾值 5 次以下,但須大於 0
221TWGCB-01-008-0221帳戶鎖定時間 900 秒以上
222TWGCB-01-008-0222強制執行密碼歷程記錄 3 以上
223TWGCB-01-008-0223顯示登入失敗次數與日期 啟用
224TWGCB-01-008-0224密碼雜湊演算法 SHA512
225TWGCB-01-008-0225密碼最短使用期限 1 天以上
226TWGCB-01-008-0226密碼到期前提醒使用者變更密碼 14 天以上
227TWGCB-01-008-0227密碼最長使用期限 90 天以下,但須大於 0
228TWGCB-01-008-0228密碼到期後,帳號停用前的天數 30 天以下,但須大於 0
229TWGCB-01-008-0229登入嘗試失敗之延遲時間 4 秒以上
230TWGCB-01-008-0230新使用者帳號預設建立使用者家目錄 yes
231TWGCB-01-008-0231要求使用者必須經過身分驗證才能提升權限 要求身分驗證
232TWGCB-01-008-0232限制每個帳號可同時登入之數量 10 以下,但須大於 0
233TWGCB-01-008-0233kbd 套件 安裝
234TWGCB-01-008-0234使用者會談鎖定 啟用
235TWGCB-01-008-0235GNOME 使用者會談逾時時間 900 秒以下,但須大於 0
236TWGCB-01-008-0236禁止 GNOME 使用者自動登入 false
237TWGCB-01-008-0237系統帳號登入方式 nologin
238TWGCB-01-008-0238Bash shell 閒置時登出時間 900 秒以下,但須大於 0
239TWGCB-01-008-0239防止修改圖形使用者介面 (GUI) 設定 啟用
240TWGCB-01-008-0240root 帳號所屬群組 GID 0
241TWGCB-01-008-0241所有使用者帳號的預設 umask 027 或更低權限
242TWGCB-01-008-0242在 /etc/login.defs 設定所有使用者的預設 umask 027 或更低權限
243TWGCB-01-008-0243可使用 su 指令之群組 僅限 wheel 群組才能使用 su 指令
項次 TWGCB-ID 原則設定名稱 設定值
244TWGCB-01-008-0244firewalld 防火牆套件 安裝
245TWGCB-01-008-0245firewalld 服務 啟用
246TWGCB-01-008-0246iptables 服務 停用
247TWGCB-01-008-0247nftables 服務 停用
248TWGCB-01-008-0248firewalld 防火牆預設區域 須設定預設區域
項次 TWGCB-ID 原則設定名稱 設定值
249TWGCB-01-008-0249nftables 服務 啟用
250TWGCB-01-008-0250firewalld 服務 停用
251TWGCB-01-008-0251在 nftables 中建立表 1 個以上
252TWGCB-01-008-0252在 nftables 建立基本鏈 1 個以上
253TWGCB-01-008-0253在 nftables 設定回送流量規則 建立回送流量規則
254TWGCB-01-008-0254在 nftables 建立預設拒絕規則 Drop
255TWGCB-01-008-0255載入 nftables 規則 開機時自動載入 nftables 規則集
項次 TWGCB-ID 原則設定名稱 設定值
256TWGCB-01-008-0256iptables 服務 啟用
257TWGCB-01-008-0257firewalld 服務 停用
258TWGCB-01-008-0258在 iptables 建立預設拒絕規則 Drop
259TWGCB-01-008-0259在 iptables 設定回送流量規則 建立回送流量規則
260TWGCB-01-008-0260在 ip6tables 建立預設拒絕規則 Drop
261TWGCB-01-008-0261在 ip6tables 設定回送流量規則 建立回送流量規則
項次 TWGCB-ID 原則設定名稱 設定值
262TWGCB-01-008-0262sshd 守護程序 啟用
263TWGCB-01-008-0263SSH 協定版本 Protocol 2
264TWGCB-01-008-0264/etc/ssh/sshd_config 檔案所有權 root:root
265TWGCB-01-008-0265/etc/ssh/sshd_config 檔案權限 600 或更低權限
266TWGCB-01-008-0266限制存取 SSH 啟用
267TWGCB-01-008-0267SSH 主機私鑰檔案所有權 root:root
268TWGCB-01-008-0268SSH 主機私鑰檔案權限 600 或更低權限
269TWGCB-01-008-0269SSH 主機公鑰檔案所有權 root:root
270TWGCB-01-008-0270SSH 主機公鑰檔案權限 644 或更低權限
271TWGCB-01-008-0271SSH 加密演算法 aes128-ctr,aes192-ctr,aes256-ctr
272TWGCB-01-008-0272SSH 日誌記錄等級 VERBOSE 或 INFO
273TWGCB-01-008-0273SSH X11Forwarding 功能 no
274TWGCB-01-008-0274SSH MaxAuthTries 參數 4 以下,但須大於 0
275TWGCB-01-008-0275SSH IgnoreRhosts 參數 yes
276TWGCB-01-008-0276SSH HostbasedAuthentication 參數 no
277TWGCB-01-008-0277SSH PermitRootLogin 參數 no
278TWGCB-01-008-0278SSH PermitEmptyPasswords 參數 no
279TWGCB-01-008-0279SSH PermitUserEnvironment 參數 no
280TWGCB-01-008-0280SSH 逾時時間 ClientAliveInterval 設為 600 以下,但須大於 0,且 ClientAliveCountMax 設為 0
281TWGCB-01-008-0281SSH LoginGraceTime 參數 60 以下,但須大於 0
282TWGCB-01-008-0282SSH UsePAM 參數 yes
283TWGCB-01-008-0283SSH AllowTcpForwarding 參數 no
284TWGCB-01-008-0284SSH MaxStartups 參數 10:30:60
285TWGCB-01-008-0285SSH MaxSessions 參數 4 以下,但須大於 0
286TWGCB-01-008-0286SSH StrictModes 參數 yes
287TWGCB-01-008-0287SSH Compression 參數 delayed 或 no
288TWGCB-01-008-0288SSH IgnoreUserKnownHosts 參數 yes
289TWGCB-01-008-0289SSH PrintLastLog 參數 yes
290TWGCB-01-008-0290shosts.equiv 檔案 移除
291TWGCB-01-008-0291.shosts 檔案 移除
292TWGCB-01-008-0292覆寫全系統加密原則 停用
© 2015 美麗島安全科技 4MOSAn Security Technology Co., Ltd. 版權所有
新竹市草漯街 205 巷 17 號     聯絡:info 小老鼠 4mosan.com