政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Red Hat Enterprise Linux 8 V1.0
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
1 | TWGCB-01-008-0001 | cramfs 檔案系統 | 停用 |
2 | TWGCB-01-008-0002 | squashfs 檔案系統 | 停用 |
3 | TWGCB-01-008-0003 | udf 檔案系統 | 停用 |
4 | TWGCB-01-008-0004 | 設定 /tmp 目錄之檔案系統 | tmpfs |
5 | TWGCB-01-008-0005 | 設定 /tmp 目錄之 nodev 選項 | 啟用 |
6 | TWGCB-01-008-0006 | 設定 /tmp 目錄之 nosuid 選項 | 啟用 |
7 | TWGCB-01-008-0007 | 設定 /tmp 目錄之 noexec 選項 | 啟用 |
8 | TWGCB-01-008-0008 | 設定 /var 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
9 | TWGCB-01-008-0009 | 設定 /var/tmp 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
10 | TWGCB-01-008-0010 | 設定 /var/tmp 目錄之 nodev 選項 | 啟用 |
11 | TWGCB-01-008-0011 | 設定 /var/tmp 目錄之 nosuid 選項 | 啟用 |
12 | TWGCB-01-008-0012 | 設定 /var/tmp 目錄之 noexec 選項 | 啟用 |
13 | TWGCB-01-008-0013 | 設定 /var/log 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
14 | TWGCB-01-008-0014 | 設定 /var/log/audit 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
15 | TWGCB-01-008-0015 | 設定 /home 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
16 | TWGCB-01-008-0016 | 設定 /home 目錄之 nodev 選項 | 啟用 |
17 | TWGCB-01-008-0017 | 設定 /dev/shm 目錄之 nodev 選項 | 啟用 |
18 | TWGCB-01-008-0018 | 設定 /dev/shm 目錄之 nosuid 選項 | 啟用 |
19 | TWGCB-01-008-0019 | 設定 /dev/shm 目錄之 noexec 選項 | 啟用 |
20 | TWGCB-01-008-0020 | 設定可攜式儲存裝置之 nodev 選項 | 啟用 |
21 | TWGCB-01-008-0021 | 設定可攜式儲存裝置之 nosuid 選項 | 啟用 |
22 | TWGCB-01-008-0022 | 設定可攜式儲存裝置之 noexec 選項 | 啟用 |
23 | TWGCB-01-008-0023 | 設定使用者家目錄之 nodev 選項 | 啟用 |
24 | TWGCB-01-008-0024 | 設定使用者家目錄之 nosuid 選項 | 啟用 |
25 | TWGCB-01-008-0025 | 設定使用者家目錄之 noexec 選項 | 啟用 |
26 | TWGCB-01-008-0026 | 設定 NFS 檔案系統之 nodev 選項 | 啟用 |
27 | TWGCB-01-008-0027 | 設定 NFS 檔案系統之 nosuid 選項 | 啟用 |
28 | TWGCB-01-008-0028 | 設定 NFS 檔案系統之 noexec 選項 | 啟用 |
29 | TWGCB-01-008-0029 | 設定全域寫入權限目錄之粘滯位 | 設定粘滯位 |
30 | TWGCB-01-008-0030 | autofs 服務 | 停用 |
31 | TWGCB-01-008-0031 | USB 儲存裝置 | 停用 |
32 | TWGCB-01-008-0032 | GPG 簽章驗證 | 1 |
33 | TWGCB-01-008-0033 | sudo 套件 | 安裝 |
34 | TWGCB-01-008-0034 | 設定 sudo 指令使用 pty | Defaults use_pty |
35 | TWGCB-01-008-0035 | sudo 自定義日誌檔案 | 啟用 |
36 | TWGCB-01-008-0036 | AIDE 套件 | 安裝 |
37 | TWGCB-01-008-0037 | 定期檢查檔案系統完整性 | 每天 |
38 | TWGCB-01-008-0038 | 開機載入程式設定檔之所有權 | root:root |
39 | TWGCB-01-008-0039 | 開機載入程式設定檔之權限 | 600 或更低權限 |
40 | TWGCB-01-008-0040 | 開機載入程式之密碼 | 設定密碼 |
41 | TWGCB-01-008-0041 | 單一使用者模式身分驗證 | 啟用 |
42 | TWGCB-01-008-0042 | 核心傾印功能 | 停用 |
43 | TWGCB-01-008-0043 | 記憶體位址空間配置隨機載入 | 2 |
44 | TWGCB-01-008-0044 | 設定全系統加密原則 | FUTURE 或 FIPS |
45 | TWGCB-01-008-0045 | /etc/passwd 檔案所有權 | root:root |
46 | TWGCB-01-008-0046 | /etc/passwd 檔案權限 | 644 或更低權限 |
47 | TWGCB-01-008-0047 | /etc/shadow 檔案所有權 | root:root 或 root:shadow |
48 | TWGCB-01-008-0048 | /etc/shadow 檔案權限 | 000 |
49 | TWGCB-01-008-0049 | /etc/group 檔案所有權 | root:root |
50 | TWGCB-01-008-0050 | /etc/group 檔案權限 | 644 或更低權限 |
51 | TWGCB-01-008-0051 | /etc/gshadow 檔案所有權 | root:root 或 root:shadow |
52 | TWGCB-01-008-0052 | /etc/gshadow 檔案權限 | 000 |
53 | TWGCB-01-008-0053 | /etc/passwd 檔案所有權 | root:root |
54 | TWGCB-01-008-0054 | /etc/passwd- 檔案權限 | 600 或更低權限 |
55 | TWGCB-01-008-0055 | /etc/shadow- 檔案所有權 | root:root 或 root:shadow |
56 | TWGCB-01-008-0056 | /etc/shadow- 檔案權限 | 000 |
57 | TWGCB-01-008-0057 | /etc/group- 檔案所有權 | root:root |
58 | TWGCB-01-008-0058 | /etc/group- 檔案權限 | 644 或更低權限 |
59 | TWGCB-01-008-0059 | /etc/gshadow- 檔案所有權 | root:root 或 root:shadow |
60 | TWGCB-01-008-0060 | /etc/gshadow- 檔案權限 | 000 |
61 | TWGCB-01-008-0061 | 其他使用者寫入具有全域寫入權限的檔案 | 禁止寫入 |
62 | TWGCB-01-008-0062 | 檢查所有檔案與目錄之擁有者 | 所有檔案與目錄擁有者皆為合法使用者 |
63 | TWGCB-01-008-0063 | 檢查所有檔案與目錄之擁有群組 | 所有檔案與目錄擁有群組皆為合法群組 |
64 | TWGCB-01-008-0064 | 所有具有全域寫入權限目錄之擁有者 | root 或其他系統帳號 |
65 | TWGCB-01-008-0065 | 所有具有全域寫入權限目錄之擁有群組 | root 或其他系統群組 |
66 | TWGCB-01-008-0066 | 系統命令檔案權限 | 755 或更低權限 |
67 | TWGCB-01-008-0067 | 系統命令檔案擁有者 | root |
68 | TWGCB-01-008-0068 | 系統命令檔案擁有群組 | root |
69 | TWGCB-01-008-0069 | 程式庫檔案權限 | 755 或更低權限 |
70 | TWGCB-01-008-0070 | 程式庫檔案擁有者 | root |
71 | TWGCB-01-008-0071 | 程式庫檔案擁有群組 | root |
72 | TWGCB-01-008-0072 | 帳號不使用空白密碼 | 帳號必須具有密碼或被鎖定 |
73 | TWGCB-01-008-0073 | root 帳號的路徑變數 | 不允許「.」、「..」、路徑開頭不是「/」及空元素 |
74 | TWGCB-01-008-0074 | root 帳號的路徑變數不包含 world-writable 或group-writable 目錄 | 不包含 world-writable 或 group-writable 目錄 |
75 | TWGCB-01-008-0075 | /etc/passwd 檔案行首的「+」符號 | 禁止 |
76 | TWGCB-01-008-0076 | /etc/shadow 檔案行首的「+」符號 | 禁止 |
77 | TWGCB-01-008-0077 | /etc/group 檔案行首的「+」符號 | 禁止 |
78 | TWGCB-01-008-0078 | UID=0 之帳號 | 僅 root 帳號之 UID 為 0 |
79 | TWGCB-01-008-0079 | 使用者家目錄權限 | 700 或更低權限 |
80 | TWGCB-01-008-0080 | 使用者家目錄擁有者 | 使用者擁有 |
81 | TWGCB-01-008-0081 | 使用者家目錄擁有群組 | 使用者群組擁有 |
82 | TWGCB-01-008-0082 | 使用者家目錄的「.」檔案權限 | go-w 或更低權限 |
83 | TWGCB-01-008-0083 | 使用者家目錄的「.forward」檔案 | 移除 |
84 | TWGCB-01-008-0084 | 使用者家目錄的「.netrc」檔案 | 移除 |
85 | TWGCB-01-008-0085 | 使用者家目錄的「.rhosts」檔案 | 移除 |
86 | TWGCB-01-008-0086 | 檢查 /etc/passwd 檔案設定的群組 | /etc/passwd 檔案中帳號的群組皆須存在於 /etc/group 檔案中 |
87 | TWGCB-01-008-0087 | 唯一的 UID | 為每個帳號設定唯一的 UID |
88 | TWGCB-01-008-0088 | 唯一的 GID | 為每個群組設定唯一的 GID |
89 | TWGCB-01-008-0089 | 唯一的使用者帳號名稱 | 為每個使用者帳號設定唯一的名稱 |
90 | TWGCB-01-008-0090 | 唯一的群組名稱 | 為每個群組設定唯一的群組名稱 |
91 | TWGCB-01-008-0091 | shadow 群組成員 | shadow 群組不包含任何使用者 |
92 | TWGCB-01-008-0092 | xinetd 套件 | 移除 |
93 | TWGCB-01-008-0093 | chrony 校時設定 | 設定 1 個以上校時來源 |
94 | TWGCB-01-008-0094 | rsyncd 服務 | 停用 |
95 | TWGCB-01-008-0095 | avahi-daemon 服務 | 停用 |
96 | TWGCB-01-008-0096 | SNMP 服務 | 停用 SNMP 服務或僅啟用 SNMPv3 功能 |
97 | TWGCB-01-008-0097 | Squid 服務 | 停用 |
98 | TWGCB-01-008-0098 | Samba 服務 | 停用 |
99 | TWGCB-01-008-0099 | FTP 伺服器 | 停用 |
100 | TWGCB-01-008-0100 | NIS 伺服器 | 停用 |
101 | TWGCB-01-008-0101 | kdump 服務 | 啟用 |
102 | TWGCB-01-008-0102 | NIS 用戶端套件 | 移除 |
103 | TWGCB-01-008-0103 | telnet 用戶端套件 | 移除 |
104 | TWGCB-01-008-0104 | telnet 伺服器套件 | 移除 |
105 | TWGCB-01-008-0105 | rsh 伺服器套件 | 移除 |
106 | TWGCB-01-008-0106 | tftp 伺服器套件 | 移除 |
107 | TWGCB-01-008-0107 | 更新套件後移除舊版本元件 | True |
108 | TWGCB-01-008-0108 | IP 轉送 | 0 |
109 | TWGCB-01-008-0109 | 所有網路介面傳送 ICMP 重新導向封包 | 0 |
110 | TWGCB-01-008-0110 | 預設網路介面傳送 ICMP 重新導向封包 | 0 |
111 | TWGCB-01-008-0111 | 所有網路介面接受來源路由封包 | 0 |
112 | TWGCB-01-008-0112 | 預設網路介面接受來源路由封包 | 0 |
113 | TWGCB-01-008-0113 | 所有網路介面接受 ICMP 重新導向封包 | 0 |
114 | TWGCB-01-008-0114 | 預設網路介面接受 ICMP 重新導向封包 | 0 |
115 | TWGCB-01-008-0115 | 所有網路介面接受安全的 ICMP 重新導向封包 | 0 |
116 | TWGCB-01-008-0116 | 預設網路介面接受安全的 ICMP 重新導向封包 | 0 |
117 | TWGCB-01-008-0117 | 所有網路介面記錄可疑封包 | 1 |
118 | TWGCB-01-008-0118 | 預設網路介面記錄可疑封包 | 1 |
119 | TWGCB-01-008-0119 | 不回應 ICMP 廣播要求 | 1 |
120 | TWGCB-01-008-0120 | 忽略偽造之 ICMP 錯誤訊息 | 1 |
121 | TWGCB-01-008-0121 | 所有網路介面啟用逆向路徑過濾功能 | 1 |
122 | TWGCB-01-008-0122 | 預設網路介面啟用逆向路徑過濾功能 | 1 |
123 | TWGCB-01-008-0123 | TCP SYN cookies | 1 |
124 | TWGCB-01-008-0124 | 所有網路介面接受 IPv6 路由器公告訊息 | 0 |
125 | TWGCB-01-008-0125 | 預設網路介面接受 IPv6 路由器公告訊息 | 0 |
126 | TWGCB-01-008-0126 | DCCP 協定 | 停用 |
127 | TWGCB-01-008-0127 | SCTP 協定 | 停用 |
128 | TWGCB-01-008-0128 | RDS 協定 | 停用 |
129 | TWGCB-01-008-0129 | TIPC 協定 | 停用 |
130 | TWGCB-01-008-0130 | 無線網路介面 | 停用 |
131 | TWGCB-01-008-0131 | 網路介面混雜模式 | 停用 |
132 | TWGCB-01-008-0132 | auditd 套件 | 安裝 |
133 | TWGCB-01-008-0133 | auditd 服務 | 啟用 |
134 | TWGCB-01-008-0134 | 稽核 auditd 服務啟動前之程序 | 啟用 |
135 | TWGCB-01-008-0135 | 稽核待辦事項數量限制 | 8,192 以上 |
136 | TWGCB-01-008-0136 | 稽核處理失敗時通知系統管理者 | 啟用 |
137 | TWGCB-01-008-0137 | 稽核日誌檔案所有權 | root:root |
138 | TWGCB-01-008-0138 | 稽核日誌檔案權限 | 600 或更低權限 |
139 | TWGCB-01-008-0139 | 稽核日誌目錄所有權 | root:root |
140 | TWGCB-01-008-0140 | 稽核日誌目錄權限 | 600 或更低權限 |
141 | TWGCB-01-008-0141 | 稽核規則檔案權限 | 600 或更低權限 |
142 | TWGCB-01-008-0142 | 稽核設定檔案權限 | 640 或更低權限 |
143 | TWGCB-01-008-0143 | 稽核工具權限 | 750 或更低權限 |
144 | TWGCB-01-008-0144 | 稽核工具所有權 | root:root |
145 | TWGCB-01-008-0145 | 保護稽核工具 | 啟用 |
146 | TWGCB-01-008-0146 | 稽核日誌檔案大小上限 | 32 以上 |
147 | TWGCB-01-008-0147 | 稽核日誌達到其檔案大小上限之行為 | keep_logs |
148 | TWGCB-01-008-0148 | 記錄系統管理者活動 | 啟用 |
149 | TWGCB-01-008-0149 | 記錄變更登入與登出資訊事件 | 啟用 |
150 | TWGCB-01-008-0150 | 記錄會談啟始資訊 | 啟用 |
151 | TWGCB-01-008-0151 | 記錄變更日期與時間事件 | 啟用 |
152 | TWGCB-01-008-0152 | 記錄變更系統強制存取控制事件 | 啟用 |
153 | TWGCB-01-008-0153 | 記錄變更系統網路環境事件 | 啟用 |
154 | TWGCB-01-008-0154 | 記錄變更自主存取控制權限事件 | 啟用 |
155 | TWGCB-01-008-0155 | 記錄不成功之未經授權檔案存取 | 啟用 |
156 | TWGCB-01-008-0156 | 記錄變更使用者或群組資訊事件 | 啟用 |
157 | TWGCB-01-008-0157 | 記錄變更檔案系統掛載事件 | 啟用 |
158 | TWGCB-01-008-0158 | 記錄特權指令使用情形 | 啟用 |
159 | TWGCB-01-008-0159 | 記錄檔案刪除事件 | 啟用 |
160 | TWGCB-01-008-0160 | 記錄核心模組掛載與卸載事件 | 啟用 |
161 | TWGCB-01-008-0161 | 記錄系統管理者活動日誌變更 | 啟用 |
162 | TWGCB-01-008-0162 | 記錄 chcon 指令使用情形 | 啟用 |
163 | TWGCB-01-008-0163 | 記錄 ssh-agent 程序使用情形 | 啟用 |
164 | TWGCB-01-008-0164 | 記錄 unix_update 程序使用情形 | 啟用 |
165 | TWGCB-01-008-0165 | 記錄 setfacl 指令使用情形 | 啟用 |
166 | TWGCB-01-008-0166 | 記錄 finit_module 指令使用情形 | 啟用 |
167 | TWGCB-01-008-0167 | 記錄 open_by_handle_at 系統呼叫使用情形 | 啟用 |
168 | TWGCB-01-008-0168 | 記錄 usermod 指令使用情形 | 啟用 |
169 | TWGCB-01-008-0169 | 記錄 chacl 指令使用情形 | 啟用 |
170 | TWGCB-01-008-0170 | 記錄 kmod 指令使用情形 | 啟用 |
171 | TWGCB-01-008-0171 | 記錄 Pam_Faillock 日誌檔案 | 啟用 |
172 | TWGCB-01-008-0172 | 記錄 execve 系統呼叫使用情形 | 啟用 |
173 | TWGCB-01-008-0173 | auditd 設定不變模式 | 2 |
174 | TWGCB-01-008-0174 | rsyslog 套件 | 安裝 |
175 | TWGCB-01-008-0175 | rsyslog 服務 | 啟用 |
176 | TWGCB-01-008-0176 | 設定 rsyslog 日誌檔案預設權限 | 0640 或更低權限 |
177 | TWGCB-01-008-0177 | 設定 rsyslog 日誌記錄規則 | auth、authpriv 及 daemon |
178 | TWGCB-01-008-0178 | /var/log/messages 檔案所有權 | root:root |
179 | TWGCB-01-008-0179 | /var/log 目錄所有權 | root:root |
180 | TWGCB-01-008-0180 | 設定 journald 將日誌發送到 rsyslog | yes |
181 | TWGCB-01-008-0181 | 設定 journald 壓縮日誌檔案 | yes |
182 | TWGCB-01-008-0182 | 設定 journald 將日誌檔案永久保存於磁碟 | persistent |
183 | TWGCB-01-008-0183 | 設定 /var/log 目錄下所有日誌檔案權限 | g-wx, o-rwx 或更低權限 |
184 | TWGCB-01-008-0184 | 設定 /var/log 目錄下所有日誌目錄權限 | g-w, o-rwx 或更低權限 |
185 | TWGCB-01-008-0185 | SELinux 套件 | 安裝 |
186 | TWGCB-01-008-0186 | 開機載入程式啟用 SELinux | 啟用 |
187 | TWGCB-01-008-0187 | SELinux 政策 | targeted 或更嚴格之政策 |
188 | TWGCB-01-008-0188 | SELinux 啟用狀態 | enforcing |
189 | TWGCB-01-008-0189 | 未受限程序 | 無未受限程序 |
190 | TWGCB-01-008-0190 | setroubleshoot 套件 | 移除 |
191 | TWGCB-01-008-0191 | mcstrans 套件 | 移除 |
192 | TWGCB-01-008-0192 | cron 守護程序 | 啟用 |
193 | TWGCB-01-008-0193 | /etc/crontab 檔案所有權 | root:root |
194 | TWGCB-01-008-0194 | /etc/crontab 檔案權限 | 600 或更低權限 |
195 | TWGCB-01-008-0195 | /etc/cron.hourly 目錄所有權 | root:root |
196 | TWGCB-01-008-0196 | /etc/cron.hourly 目錄權限 | 700 或更低權限 |
197 | TWGCB-01-008-0197 | /etc/cron.daily 目錄所有權 | root:root |
198 | TWGCB-01-008-0198 | /etc/cron.daily 目錄權限 | 700 或更低權限 |
199 | TWGCB-01-008-0199 | /etc/cron.weekly 目錄所有權 | root:root |
200 | TWGCB-01-008-0200 | /etc/cron.weekly 目錄權限 | 700 或更低權限 |
201 | TWGCB-01-008-0201 | /etc/cron.monthly 目錄所有權 | root:root |
202 | TWGCB-01-008-0202 | /etc/cron.monthly 目錄權限 | 700 或更低權限 |
203 | TWGCB-01-008-0203 | /etc/cron.d 目錄所有權 | root:root |
204 | TWGCB-01-008-0204 | /etc/cron.d 目錄權限 | 700 或更低權限 |
205 | TWGCB-01-008-0205 | at.allow 與 cron.allow 檔案所有權 | root:root |
206 | TWGCB-01-008-0206 | at.allow 與 cron.allow 檔案權限 | 600 或更低權限 |
207 | TWGCB-01-008-0207 | cron 日誌記錄功能 | 啟用 |
208 | TWGCB-01-008-0208 | 可設定密碼次數 | 3 以下,但須大於 0 |
209 | TWGCB-01-008-0209 | 強制 root 密碼須符合密碼規則 | 啟用 |
210 | TWGCB-01-008-0210 | 密碼最小長度 | 12 個字元以上 |
211 | TWGCB-01-008-0211 | 密碼必須至少包含字元類別數量 | 4 |
212 | TWGCB-01-008-0212 | 密碼必須至少包含數字個數 | 1 個以上 |
213 | TWGCB-01-008-0213 | 密碼必須至少包含大寫字母個數 | 1 個以上 |
214 | TWGCB-01-008-0214 | 密碼必須至少包含小寫字母個數 | 1 個以上 |
215 | TWGCB-01-008-0215 | 密碼必須至少包含特殊字元個數 | 1 個以上 |
216 | TWGCB-01-008-0216 | 新密碼與舊密碼最少相異字元數 | 3 以上 |
217 | TWGCB-01-008-0217 | 同一類別字元可連續使用個數 | 4 以下,但須大於 0 |
218 | TWGCB-01-008-0218 | 相同字元可連續使用個數 | 3 以下,但須大於 0 |
219 | TWGCB-01-008-0219 | 必須禁止使用字典檔單字做為密碼 | 1 |
220 | TWGCB-01-008-0220 | 帳戶鎖定閾值 | 5 次以下,但須大於 0 |
221 | TWGCB-01-008-0221 | 帳戶鎖定時間 | 900 秒以上 |
222 | TWGCB-01-008-0222 | 強制執行密碼歷程記錄 | 3 以上 |
223 | TWGCB-01-008-0223 | 顯示登入失敗次數與日期 | 啟用 |
224 | TWGCB-01-008-0224 | 密碼雜湊演算法 | SHA512 |
225 | TWGCB-01-008-0225 | 密碼最短使用期限 | 1 天以上 |
226 | TWGCB-01-008-0226 | 密碼到期前提醒使用者變更密碼 | 14 天以上 |
227 | TWGCB-01-008-0227 | 密碼最長使用期限 | 90 天以下,但須大於 0 |
228 | TWGCB-01-008-0228 | 密碼到期後,帳號停用前的天數 | 30 天以下,但須大於 0 |
229 | TWGCB-01-008-0229 | 登入嘗試失敗之延遲時間 | 4 秒以上 |
230 | TWGCB-01-008-0230 | 新使用者帳號預設建立使用者家目錄 | yes |
231 | TWGCB-01-008-0231 | 要求使用者必須經過身分驗證才能提升權限 | 要求身分驗證 |
232 | TWGCB-01-008-0232 | 限制每個帳號可同時登入之數量 | 10 以下,但須大於 0 |
233 | TWGCB-01-008-0233 | kbd 套件 | 安裝 |
234 | TWGCB-01-008-0234 | 使用者會談鎖定 | 啟用 |
235 | TWGCB-01-008-0235 | GNOME 使用者會談逾時時間 | 900 秒以下,但須大於 0 |
236 | TWGCB-01-008-0236 | 禁止 GNOME 使用者自動登入 | false |
237 | TWGCB-01-008-0237 | 系統帳號登入方式 | nologin |
238 | TWGCB-01-008-0238 | Bash shell 閒置時登出時間 | 900 秒以下,但須大於 0 |
239 | TWGCB-01-008-0239 | 防止修改圖形使用者介面 (GUI) 設定 | 啟用 |
240 | TWGCB-01-008-0240 | root 帳號所屬群組 | GID 0 |
241 | TWGCB-01-008-0241 | 所有使用者帳號的預設 umask | 027 或更低權限 |
242 | TWGCB-01-008-0242 | 在 /etc/login.defs 設定所有使用者的預設 umask | 027 或更低權限 |
243 | TWGCB-01-008-0243 | 可使用 su 指令之群組 | 僅限 wheel 群組才能使用 su 指令 |
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
244 | TWGCB-01-008-0244 | firewalld 防火牆套件 | 安裝 |
245 | TWGCB-01-008-0245 | firewalld 服務 | 啟用 |
246 | TWGCB-01-008-0246 | iptables 服務 | 停用 |
247 | TWGCB-01-008-0247 | nftables 服務 | 停用 |
248 | TWGCB-01-008-0248 | firewalld 防火牆預設區域 | 須設定預設區域 |
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
249 | TWGCB-01-008-0249 | nftables 服務 | 啟用 |
250 | TWGCB-01-008-0250 | firewalld 服務 | 停用 |
251 | TWGCB-01-008-0251 | 在 nftables 中建立表 | 1 個以上 |
252 | TWGCB-01-008-0252 | 在 nftables 建立基本鏈 | 1 個以上 |
253 | TWGCB-01-008-0253 | 在 nftables 設定回送流量規則 | 建立回送流量規則 |
254 | TWGCB-01-008-0254 | 在 nftables 建立預設拒絕規則 | Drop |
255 | TWGCB-01-008-0255 | 載入 nftables 規則 | 開機時自動載入 nftables 規則集 |
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
256 | TWGCB-01-008-0256 | iptables 服務 | 啟用 |
257 | TWGCB-01-008-0257 | firewalld 服務 | 停用 |
258 | TWGCB-01-008-0258 | 在 iptables 建立預設拒絕規則 | Drop |
259 | TWGCB-01-008-0259 | 在 iptables 設定回送流量規則 | 建立回送流量規則 |
260 | TWGCB-01-008-0260 | 在 ip6tables 建立預設拒絕規則 | Drop |
261 | TWGCB-01-008-0261 | 在 ip6tables 設定回送流量規則 | 建立回送流量規則 |
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
262 | TWGCB-01-008-0262 | sshd 守護程序 | 啟用 |
263 | TWGCB-01-008-0263 | SSH 協定版本 | Protocol 2 |
264 | TWGCB-01-008-0264 | /etc/ssh/sshd_config 檔案所有權 | root:root |
265 | TWGCB-01-008-0265 | /etc/ssh/sshd_config 檔案權限 | 600 或更低權限 |
266 | TWGCB-01-008-0266 | 限制存取 SSH | 啟用 |
267 | TWGCB-01-008-0267 | SSH 主機私鑰檔案所有權 | root:root |
268 | TWGCB-01-008-0268 | SSH 主機私鑰檔案權限 | 600 或更低權限 |
269 | TWGCB-01-008-0269 | SSH 主機公鑰檔案所有權 | root:root |
270 | TWGCB-01-008-0270 | SSH 主機公鑰檔案權限 | 644 或更低權限 |
271 | TWGCB-01-008-0271 | SSH 加密演算法 | aes128-ctr,aes192-ctr,aes256-ctr |
272 | TWGCB-01-008-0272 | SSH 日誌記錄等級 | VERBOSE 或 INFO |
273 | TWGCB-01-008-0273 | SSH X11Forwarding 功能 | no |
274 | TWGCB-01-008-0274 | SSH MaxAuthTries 參數 | 4 以下,但須大於 0 |
275 | TWGCB-01-008-0275 | SSH IgnoreRhosts 參數 | yes |
276 | TWGCB-01-008-0276 | SSH HostbasedAuthentication 參數 | no |
277 | TWGCB-01-008-0277 | SSH PermitRootLogin 參數 | no |
278 | TWGCB-01-008-0278 | SSH PermitEmptyPasswords 參數 | no |
279 | TWGCB-01-008-0279 | SSH PermitUserEnvironment 參數 | no |
280 | TWGCB-01-008-0280 | SSH 逾時時間 | ClientAliveInterval 設為 600 以下,但須大於 0,且 ClientAliveCountMax 設為 0 |
281 | TWGCB-01-008-0281 | SSH LoginGraceTime 參數 | 60 以下,但須大於 0 |
282 | TWGCB-01-008-0282 | SSH UsePAM 參數 | yes |
283 | TWGCB-01-008-0283 | SSH AllowTcpForwarding 參數 | no |
284 | TWGCB-01-008-0284 | SSH MaxStartups 參數 | 10:30:60 |
285 | TWGCB-01-008-0285 | SSH MaxSessions 參數 | 4 以下,但須大於 0 |
286 | TWGCB-01-008-0286 | SSH StrictModes 參數 | yes |
287 | TWGCB-01-008-0287 | SSH Compression 參數 | delayed 或 no |
288 | TWGCB-01-008-0288 | SSH IgnoreUserKnownHosts 參數 | yes |
289 | TWGCB-01-008-0289 | SSH PrintLastLog 參數 | yes |
290 | TWGCB-01-008-0290 | shosts.equiv 檔案 | 移除 |
291 | TWGCB-01-008-0291 | .shosts 檔案 | 移除 |
292 | TWGCB-01-008-0292 | 覆寫全系統加密原則 | 停用 |