政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Red Hat Enterprise Linux 8 V1.1、9(伺服器)(預告版)v1.0
項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
---|---|---|---|---|
1 | TWGCB-01-008-0001 | TWGCB-01-012-0001 | cramfs 檔案系統 | 停用 |
2 | TWGCB-01-008-0002 | TWGCB-01-012-0002 | squashfs 檔案系統 | 停用 |
3 | TWGCB-01-008-0003 | TWGCB-01-012-0003 | udf 檔案系統 | 停用 |
4 | TWGCB-01-008-0004 | TWGCB-01-012-0004 | 設定 /tmp 目錄之檔案系統 | tmpfs |
5 | TWGCB-01-008-0005 | TWGCB-01-012-0005 | 設定 /tmp 目錄之 nodev 選項 | 啟用 |
6 | TWGCB-01-008-0006 | TWGCB-01-012-0006 | 設定 /tmp 目錄之 nosuid 選項 | 啟用 |
7 | TWGCB-01-008-0007 | TWGCB-01-012-0007 | 設定 /tmp 目錄之 noexec 選項 | 啟用 |
8 | TWGCB-01-008-0008 | TWGCB-01-012-0008 | 設定 /var 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
9 | TWGCB-01-008-0009 | TWGCB-01-012-0009 | 設定 /var/tmp 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
10 | TWGCB-01-008-0010 | TWGCB-01-012-0010 | 設定 /var/tmp 目錄之 nodev 選項 | 啟用 |
11 | TWGCB-01-008-0011 | TWGCB-01-012-0011 | 設定 /var/tmp 目錄之 nosuid 選項 | 啟用 |
12 | TWGCB-01-008-0012 | TWGCB-01-012-0012 | 設定 /var/tmp 目錄之 noexec 選項 | 啟用 |
13 | TWGCB-01-008-0013 | TWGCB-01-012-0013 | 設定 /var/log 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
14 | TWGCB-01-008-0014 | TWGCB-01-012-0014 | 設定 /var/log/audit 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
15 | TWGCB-01-008-0015 | TWGCB-01-012-0015 | 設定 /home 目錄之檔案系統 | 使用獨立之分割磁區或邏輯磁區 |
16 | TWGCB-01-008-0016 | TWGCB-01-012-0016 | 設定 /home 目錄之 nodev 選項 | 啟用 |
17 | TWGCB-01-008-0017 | TWGCB-01-012-0017 | 設定 /dev/shm 目錄之 nodev 選項 | 啟用 |
18 | TWGCB-01-008-0018 | TWGCB-01-012-0018 | 設定 /dev/shm 目錄之 nosuid 選項 | 啟用 |
19 | TWGCB-01-008-0019 | TWGCB-01-012-0019 | 設定 /dev/shm 目錄之 noexec 選項 | 啟用 |
20 | TWGCB-01-008-0020 | TWGCB-01-012-0020 | 設定可攜式儲存裝置之 nodev 選項 | 啟用 |
21 | TWGCB-01-008-0021 | TWGCB-01-012-0021 | 設定可攜式儲存裝置之 nosuid 選項 | 啟用 |
22 | TWGCB-01-008-0022 | TWGCB-01-012-0022 | 設定可攜式儲存裝置之 noexec 選項 | 啟用 |
23 | TWGCB-01-008-0023 | TWGCB-01-012-0023 | 設定使用者家目錄之 nodev 選項 | 啟用 |
24 | TWGCB-01-008-0024 | TWGCB-01-012-0024 | 設定使用者家目錄之 nosuid 選項 | 啟用 |
25 | TWGCB-01-008-0025 | TWGCB-01-012-0025 | 設定使用者家目錄之 noexec 選項 | 啟用 |
26 | TWGCB-01-008-0026 | TWGCB-01-012-0026 | 設定 NFS 檔案系統之 nodev 選項 | 啟用 |
27 | TWGCB-01-008-0027 | TWGCB-01-012-0027 | 設定 NFS 檔案系統之 nosuid 選項 | 啟用 |
28 | TWGCB-01-008-0028 | TWGCB-01-012-0028 | 設定 NFS 檔案系統之 noexec 選項 | 啟用 |
29 | TWGCB-01-008-0029 | TWGCB-01-012-0029 | 設定全域寫入權限目錄之粘滯位 | 設定粘滯位 |
30 | TWGCB-01-008-0030 | TWGCB-01-012-0030 | autofs 服務 | 停用 |
31 | TWGCB-01-008-0031 | TWGCB-01-012-0031 | USB 儲存裝置 | 停用 |
32 | TWGCB-01-008-0032 | TWGCB-01-012-0032 | GPG 簽章驗證 | 1 |
33 | TWGCB-01-008-0033 | TWGCB-01-012-0033 | sudo 套件 | 安裝 |
34 | TWGCB-01-008-0034 | TWGCB-01-012-0034 | 設定 sudo 指令使用 pty | Defaults use_pty |
35 | TWGCB-01-008-0035 | TWGCB-01-012-0035 | sudo 自定義日誌檔案 | 啟用 |
36 | TWGCB-01-008-0036 | TWGCB-01-012-0036 | AIDE 套件 | 安裝 |
37 | TWGCB-01-008-0037 | TWGCB-01-012-0037 | 定期檢查檔案系統完整性 | 每天 |
38 | TWGCB-01-008-0038 | TWGCB-01-012-0038 | 開機載入程式設定檔之所有權 | root:root |
39 | TWGCB-01-008-0039 | TWGCB-01-012-0039 | 開機載入程式設定檔之權限 | 600 或更低權限 |
40 | TWGCB-01-008-0040 | TWGCB-01-012-0040 | 開機載入程式之通行碼 | 設定通行碼 |
41 | TWGCB-01-008-0041 | TWGCB-01-012-0041 | 單一使用者模式身分鑑別 | 啟用 |
42 | TWGCB-01-008-0042 | TWGCB-01-012-0042 | 核心傾印功能 | 停用 |
43 | TWGCB-01-008-0043 | TWGCB-01-012-0043 | 記憶體位址空間配置隨機載入 | 2 |
44 | TWGCB-01-008-0044 | TWGCB-01-012-0044 | 設定全系統加密原則 | FUTURE 或 FIPS |
45 | TWGCB-01-008-0045 | TWGCB-01-012-0045 | /etc/passwd 檔案所有權 | root:root |
46 | TWGCB-01-008-0046 | TWGCB-01-012-0046 | /etc/passwd 檔案權限 | 644 或更低權限 |
47 | TWGCB-01-008-0047 | TWGCB-01-012-0047 | /etc/shadow 檔案所有權 | root:root 或 root:shadow |
48 | TWGCB-01-008-0048 | TWGCB-01-012-0048 | /etc/shadow 檔案權限 | 000 |
49 | TWGCB-01-008-0049 | TWGCB-01-012-0049 | /etc/group 檔案所有權 | root:root |
50 | TWGCB-01-008-0050 | TWGCB-01-012-0050 | /etc/group 檔案權限 | 644 或更低權限 |
51 | TWGCB-01-008-0051 | TWGCB-01-012-0051 | /etc/gshadow 檔案所有權 | root:root 或 root:shadow |
52 | TWGCB-01-008-0052 | TWGCB-01-012-0052 | /etc/gshadow 檔案權限 | 000 |
53 | TWGCB-01-008-0053 | TWGCB-01-012-0053 | /etc/passwd- 檔案所有權 | root:root |
54 | TWGCB-01-008-0054 | TWGCB-01-012-0054 | /etc/passwd- 檔案權限 | 644 或更低權限 |
55 | TWGCB-01-008-0055 | TWGCB-01-012-0055 | /etc/shadow- 檔案所有權 | root:root 或 root:shadow |
56 | TWGCB-01-008-0056 | TWGCB-01-012-0056 | /etc/shadow- 檔案權限 | 000 |
57 | TWGCB-01-008-0057 | TWGCB-01-012-0057 | /etc/group- 檔案所有權 | root:root |
58 | TWGCB-01-008-0058 | TWGCB-01-012-0058 | /etc/group- 檔案權限 | 644 或更低權限 |
59 | TWGCB-01-008-0059 | TWGCB-01-012-0059 | /etc/gshadow- 檔案所有權 | root:root 或 root:shadow |
60 | TWGCB-01-008-0060 | TWGCB-01-012-0060 | /etc/gshadow- 檔案權限 | 000 |
61 | TWGCB-01-008-0061 | TWGCB-01-012-0061 | 其他使用者寫入具有全域寫入權限的檔案 | 禁止寫入 |
62 | TWGCB-01-008-0062 | TWGCB-01-012-0062 | 檢查所有檔案與目錄之擁有者 | 所有檔案與目錄擁有者皆為合法使用者 |
63 | TWGCB-01-008-0063 | TWGCB-01-012-0063 | 檢查所有檔案與目錄之擁有群組 | 所有檔案與目錄擁有群組皆為合法群組 |
64 | TWGCB-01-008-0064 | TWGCB-01-012-0064 | 所有具有全域寫入權限目錄之擁有者 | root 或其他系統帳號 |
65 | TWGCB-01-008-0065 | TWGCB-01-012-0065 | 所有具有全域寫入權限目錄之擁有群組 | root 或其他系統群組 |
66 | TWGCB-01-008-0066 | TWGCB-01-012-0066 | 系統命令檔案權限 | 755 或更低權限 |
67 | TWGCB-01-008-0067 | TWGCB-01-012-0067 | 系統命令檔案擁有者 | root |
68 | TWGCB-01-008-0068 | TWGCB-01-012-0068 | 系統命令檔案擁有群組 | root |
69 | TWGCB-01-008-0069 | TWGCB-01-012-0069 | 程式庫檔案權限 | 755 或更低權限 |
70 | TWGCB-01-008-0070 | TWGCB-01-012-0070 | 程式庫檔案擁有者 | root |
71 | TWGCB-01-008-0071 | TWGCB-01-012-0071 | 程式庫檔案擁有群組 | root |
72 | TWGCB-01-008-0072 | TWGCB-01-012-0072 | 帳號不使用空白密碼 | 帳號必須具有密碼或被鎖定 |
73 | TWGCB-01-008-0073 | TWGCB-01-012-0073 | root 帳號的路徑變數 | 不允許「.」、「..」、路徑開頭不是「/」及空元素 |
74 | TWGCB-01-008-0074 | TWGCB-01-012-0074 | root 帳號的路徑變數不包含 world-writable 或group-writable 目錄 | 不包含 world-writable 或 group-writable 目錄 |
75 | TWGCB-01-008-0075 | TWGCB-01-012-0075 | /etc/passwd 檔案行首的「+」符號 | 禁止 |
76 | TWGCB-01-008-0076 | TWGCB-01-012-0076 | /etc/shadow 檔案行首的「+」符號 | 禁止 |
77 | TWGCB-01-008-0077 | TWGCB-01-012-0077 | /etc/group 檔案行首的「+」符號 | 禁止 |
78 | TWGCB-01-008-0078 | TWGCB-01-012-0078 | UID=0 之帳號 | 僅 root 帳號之 UID 為 0 |
79 | TWGCB-01-008-0079 | TWGCB-01-012-0079 | 使用者家目錄權限 | 700 或更低權限 |
80 | TWGCB-01-008-0080 | TWGCB-01-012-0080 | 使用者家目錄擁有者 | 使用者擁有 |
81 | TWGCB-01-008-0081 | TWGCB-01-012-0081 | 使用者家目錄擁有群組 | 使用者群組擁有 |
82 | TWGCB-01-008-0082 | TWGCB-01-012-0082 | 使用者家目錄的「.」檔案權限 | go-w 或更低權限 |
83 | TWGCB-01-008-0083 | TWGCB-01-012-0083 | 使用者家目錄的「.forward」檔案 | 移除 |
84 | TWGCB-01-008-0084 | TWGCB-01-012-0084 | 使用者家目錄的「.netrc」檔案 | 移除 |
85 | TWGCB-01-008-0085 | TWGCB-01-012-0085 | 使用者家目錄的「.rhosts」檔案 | 移除 |
86 | TWGCB-01-008-0086 | TWGCB-01-012-0086 | 檢查 /etc/passwd 檔案設定的群組 | /etc/passwd 檔案中帳號的群組皆須存在於 /etc/group 檔案中 |
87 | TWGCB-01-008-0087 | TWGCB-01-012-0087 | 唯一的 UID | 為每個帳號設定唯一的 UID |
88 | TWGCB-01-008-0088 | TWGCB-01-012-0088 | 唯一的 GID | 為每個群組設定唯一的 GID |
89 | TWGCB-01-008-0089 | TWGCB-01-012-0089 | 唯一的使用者帳號名稱 | 為每個使用者帳號設定唯一的名稱 |
90 | TWGCB-01-008-0090 | TWGCB-01-012-0090 | 唯一的群組名稱 | 為每個群組設定唯一的群組名稱 |
91 | TWGCB-01-008-0091 | TWGCB-01-012-0091 | shadow 群組成員 | shadow 群組不包含任何使用者 |
92 | TWGCB-01-008-0092 | TWGCB-01-012-0092 | xinetd 套件 | 移除 |
93 | TWGCB-01-008-0093 | TWGCB-01-012-0093 | chrony 校時設定 | 設定 1 個以上校時來源 |
94 | TWGCB-01-008-0094 | TWGCB-01-012-0094 | rsyncd 服務 | 停用 |
95 | TWGCB-01-008-0095 | TWGCB-01-012-0095 | avahi-daemon 服務 | 停用 |
96 | TWGCB-01-008-0096 | TWGCB-01-012-0096 | SNMP 服務 | 停用 SNMP 服務或僅啟用 SNMPv3 功能 |
97 | TWGCB-01-008-0097 | TWGCB-01-012-0097 | Squid 服務 | 停用 |
98 | TWGCB-01-008-0098 | TWGCB-01-012-0098 | Samba 服務 | 停用 |
99 | TWGCB-01-008-0099 | TWGCB-01-012-0099 | FTP 伺服器 | 停用 |
100 | TWGCB-01-008-0100 | TWGCB-01-012-0100 | NIS 伺服器 | 停用 |
101 | TWGCB-01-008-0101 | TWGCB-01-012-0101 | kdump 服務 | 啟用 |
102 | TWGCB-01-008-0102 | TWGCB-01-012-0102 | NIS 用戶端套件 | 移除 |
103 | TWGCB-01-008-0103 | TWGCB-01-012-0103 | telnet 用戶端套件 | 移除 |
104 | TWGCB-01-008-0104 | TWGCB-01-012-0104 | telnet 伺服器套件 | 移除 |
105 | TWGCB-01-008-0105 | TWGCB-01-012-0105 | rsh 伺服器套件 | 移除 |
106 | TWGCB-01-008-0106 | TWGCB-01-012-0106 | tftp 伺服器套件 | 移除 |
107 | TWGCB-01-008-0107 | TWGCB-01-012-0107 | 更新套件後移除舊版本元件 | True |
108 | TWGCB-01-008-0108 | TWGCB-01-012-0108 | IP 轉送 | 0 |
109 | TWGCB-01-008-0109 | TWGCB-01-012-0109 | 所有網路介面傳送 ICMP 重新導向封包 | 0 |
110 | TWGCB-01-008-0110 | TWGCB-01-012-0110 | 預設網路介面禁止傳送 ICMP 重新導向封包 | 0 |
111 | TWGCB-01-008-0111 | TWGCB-01-012-0111 | 所有網路介面阻擋來源路由封包 | 0 |
112 | TWGCB-01-008-0112 | TWGCB-01-012-0112 | 預設網路介面阻擋來源路由封包 | 0 |
113 | TWGCB-01-008-0113 | TWGCB-01-012-0113 | 所有網路介面阻擋 ICMP 重新導向封包 | 0 |
114 | TWGCB-01-008-0114 | TWGCB-01-012-0114 | 預設網路介面阻擋 ICMP 重新導向封包 | 0 |
115 | TWGCB-01-008-0115 | TWGCB-01-012-0115 | 所有網路介面阻擋安全之 ICMP 重新導向封包 | 0 |
116 | TWGCB-01-008-0116 | TWGCB-01-012-0116 | 預設網路介面阻擋安全之 ICMP 重新導向封包 | 0 |
117 | TWGCB-01-008-0117 | TWGCB-01-012-0117 | 所有網路介面記錄可疑封包 | 1 |
118 | TWGCB-01-008-0118 | TWGCB-01-012-0118 | 預設網路介面記錄可疑封包 | 1 |
119 | TWGCB-01-008-0119 | TWGCB-01-012-0119 | 不回應 ICMP 廣播要求 | 1 |
120 | TWGCB-01-008-0120 | TWGCB-01-012-0120 | 忽略偽造之 ICMP 錯誤訊息 | 1 |
121 | TWGCB-01-008-0121 | TWGCB-01-012-0121 | 所有網路介面啟用逆向路徑過濾功能 | 1 |
122 | TWGCB-01-008-0122 | TWGCB-01-012-0122 | 預設網路介面啟用逆向路徑過濾功能 | 1 |
123 | TWGCB-01-008-0123 | TWGCB-01-012-0123 | TCP SYN cookies | 1 |
124 | TWGCB-01-008-0124 | TWGCB-01-012-0124 | 所有網路介面阻擋 IPv6 路由器公告訊息 | 0 |
125 | TWGCB-01-008-0125 | TWGCB-01-012-0125 | 預設網路介面阻擋 IPv6 路由器公告訊息 | 0 |
126 | TWGCB-01-008-0126 | TWGCB-01-012-0126 | DCCP 協定 | 停用 |
127 | TWGCB-01-008-0127 | TWGCB-01-012-0127 | SCTP 協定 | 停用 |
128 | TWGCB-01-008-0128 | TWGCB-01-012-0128 | RDS 協定 | 停用 |
129 | TWGCB-01-008-0129 | TWGCB-01-012-0129 | TIPC 協定 | 停用 |
130 | TWGCB-01-008-0130 | TWGCB-01-012-0130 | 無線網路介面 | 停用 |
131 | TWGCB-01-008-0131 | TWGCB-01-012-0131 | 網路介面混雜模式 | 停用 |
132 | TWGCB-01-008-0132 | TWGCB-01-012-0132 | auditd 套件 | 安裝 |
133 | TWGCB-01-008-0133 | TWGCB-01-012-0133 | auditd 服務 | 啟用 |
134 | TWGCB-01-008-0134 | TWGCB-01-012-0134 | 稽核 auditd 服務啟動前之程序 | 啟用 |
135 | TWGCB-01-008-0135 | TWGCB-01-012-0135 | 稽核待辦事項數量限制 | 8,192 以上 |
136 | TWGCB-01-008-0136 | TWGCB-01-012-0136 | 稽核處理失敗時通知系統管理者 | 啟用 |
137 | TWGCB-01-008-0137 | TWGCB-01-012-0137 | 稽核日誌檔案所有權 | root:root |
138 | TWGCB-01-008-0138 | TWGCB-01-012-0138 | 稽核日誌檔案權限 | 600 或更低權限 |
139 | TWGCB-01-008-0139 | TWGCB-01-012-0139 | 稽核日誌目錄所有權 | root:root |
140 | TWGCB-01-008-0140 | TWGCB-01-012-0140 | 稽核日誌目錄權限 | Linux 8: 600 或更低權限 Linux 9: 700 或更低權限 |
141 | TWGCB-01-008-0141 | TWGCB-01-012-0141 | 稽核規則檔案權限 | 600 或更低權限 |
142 | TWGCB-01-008-0142 | TWGCB-01-012-0142 | 稽核設定檔案權限 | 640 或更低權限 |
143 | TWGCB-01-008-0143 | TWGCB-01-012-0143 | 稽核工具權限 | 750 或更低權限 |
144 | TWGCB-01-008-0144 | TWGCB-01-012-0144 | 稽核工具所有權 | root:root |
145 | TWGCB-01-008-0145 | TWGCB-01-012-0145 | 保護稽核工具 | 啟用 |
146 | TWGCB-01-008-0146 | TWGCB-01-012-0146 | 稽核日誌檔案大小上限 | 32 以上 |
147 | TWGCB-01-008-0147 | TWGCB-01-012-0147 | 稽核日誌達到其檔案大小上限之行為 | keep_logs |
148 | TWGCB-01-008-0148 | TWGCB-01-012-0148 | 記錄系統管理者活動 | 啟用 |
149 | TWGCB-01-008-0149 | TWGCB-01-012-0149 | 記錄變更登入與登出資訊事件 | 啟用 |
150 | TWGCB-01-008-0150 | TWGCB-01-012-0150 | 記錄會談啟始資訊 | 啟用 |
151 | TWGCB-01-008-0151 | TWGCB-01-012-0151 | 記錄變更日期與時間事件 | 啟用 |
152 | TWGCB-01-008-0152 | TWGCB-01-012-0152 | 記錄變更系統強制存取控制事件 | 啟用 |
153 | TWGCB-01-008-0153 | TWGCB-01-012-0153 | 記錄變更系統網路環境事件 | 啟用 |
154 | TWGCB-01-008-0154 | TWGCB-01-012-0154 | 記錄變更自主存取控制權限事件 | 啟用 |
155 | TWGCB-01-008-0155 | TWGCB-01-012-0155 | 記錄不成功之未經授權檔案存取 | 啟用 |
156 | TWGCB-01-008-0156 | TWGCB-01-012-0156 | 記錄變更使用者或群組資訊事件 | 啟用 |
157 | TWGCB-01-008-0157 | TWGCB-01-012-0157 | 記錄變更檔案系統掛載事件 | 啟用 |
158 | TWGCB-01-008-0158 | TWGCB-01-012-0158 | 記錄特權指令使用情形 | 啟用 |
159 | TWGCB-01-008-0159 | TWGCB-01-012-0159 | 記錄檔案刪除事件 | 啟用 |
160 | TWGCB-01-008-0160 | TWGCB-01-012-0160 | 記錄核心模組掛載與卸載事件 | 啟用 |
161 | TWGCB-01-008-0161 | TWGCB-01-012-0161 | 記錄系統管理者活動日誌變更 | 啟用 |
162 | TWGCB-01-008-0162 | TWGCB-01-012-0162 | 記錄 chcon 指令使用情形 | 啟用 |
163 | TWGCB-01-008-0163 | TWGCB-01-012-0163 | 記錄 ssh-agent 程序使用情形 | 啟用 |
164 | TWGCB-01-008-0164 | TWGCB-01-012-0164 | 記錄 unix_update 程序使用情形 | 啟用 |
165 | TWGCB-01-008-0165 | TWGCB-01-012-0165 | 記錄 setfacl 指令使用情形 | 啟用 |
166 | TWGCB-01-008-0166 | TWGCB-01-012-0166 | 記錄 finit_module 指令使用情形 | 啟用 |
167 | TWGCB-01-008-0167 | TWGCB-01-012-0167 | 記錄 open_by_handle_at 系統呼叫使用情形 | 啟用 |
168 | TWGCB-01-008-0168 | TWGCB-01-012-0168 | 記錄 usermod 指令使用情形 | 啟用 |
169 | TWGCB-01-008-0169 | TWGCB-01-012-0169 | 記錄 chacl 指令使用情形 | 啟用 |
170 | TWGCB-01-008-0170 | TWGCB-01-012-0170 | 記錄 kmod 指令使用情形 | 啟用 |
171 | TWGCB-01-008-0171 | TWGCB-01-012-0171 | 記錄 Pam_Faillock 日誌檔案 | 啟用 |
172 | TWGCB-01-008-0172 | TWGCB-01-012-0172 | 記錄 execve 系統呼叫使用情形 | 啟用 |
173 | TWGCB-01-008-0173 | TWGCB-01-012-0173 | auditd 設定不變模式 | 2 |
174 | TWGCB-01-008-0174 | TWGCB-01-012-0174 | rsyslog 套件 | 安裝 |
175 | TWGCB-01-008-0175 | TWGCB-01-012-0175 | rsyslog 服務 | 啟用 |
176 | TWGCB-01-008-0176 | TWGCB-01-012-0176 | 設定 rsyslog 日誌檔案預設權限 | 0640 或更低權限 |
177 | TWGCB-01-008-0177 | TWGCB-01-012-0177 | 設定 rsyslog 日誌記錄規則 | auth、authpriv 及 daemon |
178 | TWGCB-01-008-0178 | TWGCB-01-012-0178 | /var/log/messages 檔案所有權 | root:root |
179 | TWGCB-01-008-0179 | TWGCB-01-012-0179 | /var/log 目錄所有權 | root:root |
180 | TWGCB-01-008-0180 | TWGCB-01-012-0180 | 設定 journald 將日誌發送到 rsyslog | yes |
181 | TWGCB-01-008-0181 | TWGCB-01-012-0181 | 設定 journald 壓縮日誌檔案 | yes |
182 | TWGCB-01-008-0182 | TWGCB-01-012-0182 | 設定 journald 將日誌檔案永久保存於磁碟 | persistent |
183 | 於 v1.1 已移除的政策 | TWGCB-01-012-0183 | 設定 /var/log 目錄下所有日誌檔案權限 | g-wx, o-rwx 或更低權限 |
184 | 於 v1.1 已移除的政策 | 設定 /var/log 目錄下所有日誌目錄權限 | g-w, o-rwx 或更低權限 | |
185 | TWGCB-01-008-0185 | TWGCB-01-012-0184 | SELinux 套件 | 安裝 |
186 | TWGCB-01-008-0186 | TWGCB-01-012-0185 | 開機載入程式啟用 SELinux | 啟用 |
187 | TWGCB-01-008-0187 | TWGCB-01-012-0186 | SELinux 政策 | targeted 或更嚴格之政策 |
188 | TWGCB-01-008-0188 | TWGCB-01-012-0187 | SELinux 啟用狀態 | enforcing |
189 | TWGCB-01-008-0189 | TWGCB-01-012-0188 | 未受限程序 | 無未受限程序 |
190 | TWGCB-01-008-0190 | TWGCB-01-012-0189 | setroubleshoot 套件 | 移除 |
191 | TWGCB-01-008-0191 | TWGCB-01-012-0190 | mcstrans 套件 | 移除 |
192 | TWGCB-01-008-0192 | TWGCB-01-012-0191 | cron 守護程序 | 啟用 |
193 | TWGCB-01-008-0193 | TWGCB-01-012-0192 | /etc/crontab 檔案所有權 | root:root |
194 | TWGCB-01-008-0194 | TWGCB-01-012-0193 | /etc/crontab 檔案權限 | 600 或更低權限 |
195 | TWGCB-01-008-0195 | TWGCB-01-012-0194 | /etc/cron.hourly 目錄所有權 | root:root |
196 | TWGCB-01-008-0196 | TWGCB-01-012-0195 | /etc/cron.hourly 目錄權限 | 700 或更低權限 |
197 | TWGCB-01-008-0197 | TWGCB-01-012-0196 | /etc/cron.daily 目錄所有權 | root:root |
198 | TWGCB-01-008-0198 | TWGCB-01-012-0197 | /etc/cron.daily 目錄權限 | 700 或更低權限 |
199 | TWGCB-01-008-0199 | TWGCB-01-012-0198 | /etc/cron.weekly 目錄所有權 | root:root |
200 | TWGCB-01-008-0200 | TWGCB-01-012-0199 | /etc/cron.weekly 目錄權限 | 700 或更低權限 |
201 | TWGCB-01-008-0201 | TWGCB-01-012-0200 | /etc/cron.monthly 目錄所有權 | root:root |
202 | TWGCB-01-008-0202 | TWGCB-01-012-0201 | /etc/cron.monthly 目錄權限 | 700 或更低權限 |
203 | TWGCB-01-008-0203 | TWGCB-01-012-0202 | /etc/cron.d 目錄所有權 | root:root |
204 | TWGCB-01-008-0204 | TWGCB-01-012-0203 | /etc/cron.d 目錄權限 | 700 或更低權限 |
205 | TWGCB-01-008-0205 | TWGCB-01-012-0204 | at.allow 與 cron.allow 檔案所有權 | root:root |
206 | TWGCB-01-008-0206 | TWGCB-01-012-0205 | at.allow 與 cron.allow 檔案權限 | 600 或更低權限 |
207 | TWGCB-01-008-0207 | TWGCB-01-012-0206 | cron 日誌記錄功能 | 啟用 |
208 | TWGCB-01-008-0208 | TWGCB-01-012-0207 | 可設定密碼次數 | 3 以下,但須大於 0 |
209 | TWGCB-01-008-0209 | TWGCB-01-012-0208 | 強制 root 密碼須符合密碼規則 | 啟用 |
210 | TWGCB-01-008-0210 | TWGCB-01-012-0209 | 密碼最小長度 | 12 個字元以上 |
211 | TWGCB-01-008-0211 | TWGCB-01-012-0210 | 密碼必須至少包含字元類別數量 | 4 |
212 | TWGCB-01-008-0212 | TWGCB-01-012-0211 | 密碼必須至少包含數字個數 | 1 個以上 |
213 | TWGCB-01-008-0213 | TWGCB-01-012-0212 | 密碼必須至少包含大寫字母個數 | 1 個以上 |
214 | TWGCB-01-008-0214 | TWGCB-01-012-0213 | 密碼必須至少包含小寫字母個數 | 1 個以上 |
215 | TWGCB-01-008-0215 | TWGCB-01-012-0214 | 密碼必須至少包含特殊字元個數 | 1 個以上 |
216 | TWGCB-01-008-0216 | TWGCB-01-012-0215 | 新密碼與舊密碼最少相異字元數 | 3 以上 |
217 | TWGCB-01-008-0217 | TWGCB-01-012-0216 | 同一類別字元可連續使用個數 | 4 以下,但須大於 0 |
218 | TWGCB-01-008-0218 | TWGCB-01-012-0217 | 相同字元可連續使用個數 | 3 以下,但須大於 0 |
219 | TWGCB-01-008-0219 | TWGCB-01-012-0218 | 必須禁止使用字典檔單字做為密碼 | 1 |
220 | TWGCB-01-008-0220 | TWGCB-01-012-0219 | 帳戶鎖定閾值 | 5 次以下,但須大於 0 |
221 | TWGCB-01-008-0221 | TWGCB-01-012-0220 | 帳戶鎖定時間 | 900 秒以上 |
222 | TWGCB-01-008-0222 | TWGCB-01-012-0221 | 強制執行密碼歷程記錄 | 3 以上 |
223 | TWGCB-01-008-0223 | TWGCB-01-012-0222 | 顯示登入失敗次數與日期 | 啟用 |
224 | TWGCB-01-008-0224 | TWGCB-01-012-0223 | 密碼雜湊演算法 | SHA512 |
225 | TWGCB-01-008-0225 | TWGCB-01-012-0224 | 通行碼最短使用期限 | 1 天以上 |
226 | TWGCB-01-008-0226 | TWGCB-01-012-0225 | 通行碼到期前提醒使用者變更通行碼 | 14 天以上 |
227 | TWGCB-01-008-0227 | TWGCB-01-012-0226 | 通行碼最長使用期限 | 90 天以下,但須大於 0 |
228 | TWGCB-01-008-0228 | TWGCB-01-012-0227 | 通行碼到期後,帳號停用前之天數 | 30 天以下,但須大於 0 |
229 | TWGCB-01-008-0229 | TWGCB-01-012-0228 | 登入嘗試失敗之延遲時間 | 4 秒以上 |
230 | TWGCB-01-008-0230 | TWGCB-01-012-0229 | 新使用者帳號預設建立使用者家目錄 | yes |
231 | TWGCB-01-008-0231 | TWGCB-01-012-0230 | 要求使用者必須經過身分驗證才能提升權限 | 要求身分驗證 |
232 | TWGCB-01-008-0232 | TWGCB-01-012-0231 | 限制每個帳號可同時登入之數量 | 10 以下,但須大於 0 |
233 | TWGCB-01-008-0233 | TWGCB-01-012-0232 | kbd 套件 | 安裝 |
234 | TWGCB-01-008-0234 | TWGCB-01-012-0233 | 使用者會談鎖定 | 啟用 |
235 | TWGCB-01-008-0235 | TWGCB-01-012-0234 | GNOME 使用者會談逾時時間 | 900 秒以下,但須大於 0 |
236 | TWGCB-01-008-0236 | TWGCB-01-012-0235 | 禁止 GNOME 使用者自動登入 | false |
237 | TWGCB-01-008-0237 | TWGCB-01-012-0236 | 系統帳號登入方式 | nologin |
238 | TWGCB-01-008-0238 | TWGCB-01-012-0237 | Bash shell 閒置時登出時間 | 900 秒以下,但須大於 0 |
239 | TWGCB-01-008-0239 | TWGCB-01-012-0238 | 防止修改圖形使用者介面 (GUI) 設定 | 啟用 |
240 | TWGCB-01-008-0240 | TWGCB-01-012-0239 | root 帳號所屬群組 | GID 0 |
241 | TWGCB-01-008-0241 | TWGCB-01-012-0240 | 所有使用者帳號的預設 umask | 027 或更低權限 |
242 | TWGCB-01-008-0242 | TWGCB-01-012-0241 | 在 /etc/login.defs 設定所有使用者的預設 umask | 027 或更低權限 |
243 | TWGCB-01-008-0243 | TWGCB-01-012-0242 | 可使用 su 指令之群組 | 僅限 wheel 群組才能使用 su 指令 |
項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
---|---|---|---|---|
244 | TWGCB-01-008-0244 | TWGCB-01-012-0243 | firewalld 防火牆套件 | 安裝 |
245 | TWGCB-01-008-0245 | TWGCB-01-012-0244 | firewalld 服務 | 啟用 |
246 | TWGCB-01-008-0246 | TWGCB-01-012-0245 | iptables 服務 | 停用 |
247 | TWGCB-01-008-0247 | TWGCB-01-012-0246 | nftables 服務 | 停用 |
248 | TWGCB-01-008-0248 | TWGCB-01-012-0247 | firewalld 防火牆預設區域 | 須設定預設區域 |
項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
---|---|---|---|---|
249 | TWGCB-01-008-0249 | TWGCB-01-012-0248 | nftables 服務 | 啟用 |
250 | TWGCB-01-008-0250 | TWGCB-01-012-0249 | firewalld 服務 | 停用 |
251 | TWGCB-01-008-0251 | TWGCB-01-012-0250 | 在 nftables 中建立表 | 1 個以上 |
252 | TWGCB-01-008-0252 | TWGCB-01-012-0251 | 在 nftables 建立基本鏈 | 1 個以上 |
253 | TWGCB-01-008-0253 | TWGCB-01-012-0252 | 在 nftables 設定回送流量規則 | 建立回送流量規則 |
254 | TWGCB-01-008-0254 | TWGCB-01-012-0253 | 在 nftables 建立預設拒絕規則 | Drop |
255 | TWGCB-01-008-0255 | TWGCB-01-012-0254 | 載入 nftables 規則 | 開機時自動載入 nftables 規則集 |
項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
---|---|---|---|---|
256 | TWGCB-01-008-0256 | iptables 服務 | 啟用 | |
257 | TWGCB-01-008-0257 | firewalld 服務 | 停用 | |
258 | TWGCB-01-008-0258 | 在 iptables 建立預設拒絕規則 | Drop | |
259 | TWGCB-01-008-0259 | 在 iptables 設定回送流量規則 | 建立回送流量規則 | |
260 | TWGCB-01-008-0260 | 在 ip6tables 建立預設拒絕規則 | Drop | |
261 | TWGCB-01-008-0261 | 在 ip6tables 設定回送流量規則 | 建立回送流量規則 |
項次 | TWGCB-ID(8) | TWGCB-ID(9) | 原則設定名稱 | 設定值 |
---|---|---|---|---|
262 | TWGCB-01-008-0262 | TWGCB-01-012-0255 | sshd 守護程序 | 啟用 |
263 | TWGCB-01-008-0263 | TWGCB-01-012-0256 | SSH 協定版本 | Protocol 2 |
264 | TWGCB-01-008-0264 | TWGCB-01-012-0257 | /etc/ssh/sshd_config 檔案所有權 | root:root |
265 | TWGCB-01-008-0265 | TWGCB-01-012-0258 | /etc/ssh/sshd_config 檔案權限 | 600 或更低權限 |
266 | TWGCB-01-008-0266 | TWGCB-01-012-0259 | 限制存取 SSH | 啟用 |
267 | TWGCB-01-008-0267 | TWGCB-01-012-0260 | SSH 主機私鑰檔案所有權 | Linux 8: root:root Linux 9: root:ssh_keys |
268 | TWGCB-01-008-0268 | TWGCB-01-012-0261 | SSH 主機私鑰檔案權限 | Linux 8: 600 或更低權限 Linux 9: 640或更低權限 |
269 | TWGCB-01-008-0269 | TWGCB-01-012-0262 | SSH 主機公鑰檔案所有權 | root:root |
270 | TWGCB-01-008-0270 | TWGCB-01-012-0263 | SSH 主機公鑰檔案權限 | 644 或更低權限 |
271 | TWGCB-01-008-0271 | TWGCB-01-012-0264 | SSH 加密演算法 | aes128-ctr,aes192-ctr,aes256-ctr |
272 | TWGCB-01-008-0272 | TWGCB-01-012-0265 | SSH 日誌記錄等級 | VERBOSE 或 INFO |
273 | TWGCB-01-008-0273 | TWGCB-01-012-0266 | SSH X11Forwarding 功能 | no |
274 | TWGCB-01-008-0274 | TWGCB-01-012-0267 | SSH MaxAuthTries 參數 | 4 以下,但須大於 0 |
275 | TWGCB-01-008-0275 | TWGCB-01-012-0268 | SSH IgnoreRhosts 參數 | yes |
276 | TWGCB-01-008-0276 | TWGCB-01-012-0269 | SSH HostbasedAuthentication 參數 | no |
277 | TWGCB-01-008-0277 | TWGCB-01-012-0270 | SSH PermitRootLogin 參數 | no |
278 | TWGCB-01-008-0278 | TWGCB-01-012-0271 | SSH PermitEmptyPasswords 參數 | no |
279 | TWGCB-01-008-0279 | TWGCB-01-012-0272 | SSH PermitUserEnvironment 參數 | no |
280 | TWGCB-01-008-0280 | TWGCB-01-012-0273 | SSH 逾時時間 | ClientAliveInterval 設為 600 以下,但須大於 0,且 ClientAliveCountMax 設為 0 |
281 | TWGCB-01-008-0281 | TWGCB-01-012-0274 | SSH LoginGraceTime 參數 | 60 以下,但須大於 0 |
282 | TWGCB-01-008-0282 | TWGCB-01-012-0275 | SSH UsePAM 參數 | yes |
283 | TWGCB-01-008-0283 | TWGCB-01-012-0276 | SSH AllowTcpForwarding 參數 | no |
284 | TWGCB-01-008-0284 | TWGCB-01-012-0277 | SSH MaxStartups 參數 | 10:30:60 |
285 | TWGCB-01-008-0285 | TWGCB-01-012-0278 | SSH MaxSessions 參數 | 4 以下,但須大於 0 |
286 | TWGCB-01-008-0286 | TWGCB-01-012-0279 | SSH StrictModes 參數 | yes |
287 | TWGCB-01-008-0287 | TWGCB-01-012-0280 | SSH Compression 參數 | delayed 或 no |
288 | TWGCB-01-008-0288 | TWGCB-01-012-0281 | SSH IgnoreUserKnownHosts 參數 | yes |
289 | TWGCB-01-008-0289 | TWGCB-01-012-0282 | SSH PrintLastLog 參數 | yes |
290 | TWGCB-01-008-0290 | TWGCB-01-012-0283 | shosts.equiv 檔案 | 移除 |
291 | TWGCB-01-008-0291 | TWGCB-01-012-0284 | .shosts 檔案 | 移除 |
292 | TWGCB-01-008-0292 | TWGCB-01-012-0285 | 覆寫全系統加密原則 | 停用 |